V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tianxiacangshen
V2EX  ›  PHP

阿里云服务器提醒发现肉鸡行为,服务器正对外发动 ENternalblue 攻击

  •  
  •   tianxiacangshen · 2017-08-16 07:45:12 +08:00 via iPhone · 3927 次点击
    这是一个创建于 2692 天前的主题,其中的信息可能已经有所发展或是发生改变。
    不是收到 enternalblue 攻击,而是服务器成了肉鸡向别人发起了攻击,各位大神,这怎么破?😫😫😫
    13 条回复    2017-08-16 17:24:19 +08:00
    xxoxx
        1
    xxoxx  
       2017-08-16 07:47:33 +08:00 via iPhone
    停掉 server、netbios 服务,禁止 135、137、445 端口外联
    u5f20u98de
        2
    u5f20u98de  
       2017-08-16 08:08:00 +08:00
    服务器被人入侵了,排查有没有 webshell 或者可疑进程、未授权登录的日志,然后根据相关信息修复漏洞并重装系统,防止无法清理的 rootkit 等隐藏的后门。重装完了防火墙加个禁止主动对外连接的规则。
    huage
        3
    huage  
       2017-08-16 08:19:30 +08:00
    最近的攻击确实很多,我也打算重装系统。

    新的服务器,都是使用 win s 2016,启用 defender 和防火墙,而且在安全组访问了,做了严格限制,只允许自己知道的端口出入访问。
    KoleHank
        4
    KoleHank  
       2017-08-16 08:31:46 +08:00   ❤️ 1
    不会跟 xshell 的后门有关系吧
    90safe
        5
    90safe  
       2017-08-16 08:47:25 +08:00
    看 log 吧
    ZeoZhang
        6
    ZeoZhang  
       2017-08-16 08:49:31 +08:00
    赶紧关机。
    tianxiacangshen
        7
    tianxiacangshen  
    OP
       2017-08-16 09:48:39 +08:00
    @ZeoZhang 为啥?好像运行一下就停止了
    Junfo
        8
    Junfo  
       2017-08-16 10:21:29 +08:00
    最新紧急事件 更多

    2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序
    2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序

    检查计划任务、检查所有进程,分别 kill 掉...不知道还会不会再出现
    tianxiacangshen
        9
    tianxiacangshen  
    OP
       2017-08-16 10:49:07 +08:00
    @Junfo 我也只是把官网提示的进程杀掉了

    肉鸡行为 -- EternalBlue (ECS)xxxxxxxxxxxxx
    发现服务器正在对外发动 EternalBlue 攻击

    进程名:mssecsvc.exe 物理路径:C:/Windows/mssecsvc.exe
    jarlyyn
        10
    jarlyyn  
       2017-08-16 10:54:29 +08:00
    服务器被入侵了,不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢……
    sofs
        11
    sofs  
       2017-08-16 11:07:02 +08:00
    不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢…
    xiqingongzi
        12
    xiqingongzi  
       2017-08-16 12:20:01 +08:00
    先禁掉所有的对外端口,以免因攻击被服务商停掉服务。
    然后通过远程登录,上线,将文件打包。
    打开一些安全端口,用了下载备份文件
    重装业务
    yzmm
        13
    yzmm  
       2017-08-16 17:24:19 +08:00
    看起来你该重装环境了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2512 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 04:02 · PVG 12:02 · LAX 20:02 · JFK 23:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.