昨天有说到之前公司的服务器中了病毒,今天在使用erp的时候又觉得有点卡,就上服务器看了下,一登进系统界面就发现nod32提示又发现了几个病毒,而且看了下任务管理器发现之前哪个名为smsser.exe的程序又自动运行了,我现在是真的没办法了,完全不知道该怎么解决了。
因为之前在火绒论坛发过帖子,发现他们有专门的工作人员可以帮忙解决系统的中毒问题,我上次个人电脑因为不知道安装了什么垃圾软件被纂改了浏览器主页,不论怎么搞就解决不了,便尝试性的在它们论坛发了个帖子,不到半小时就有相关的工作人员联系我处理问题,效率是真没的说。
后来经过他们排查后问了我一个问题,问我是不是用过橘子装机大师这类的软件。当时我就惊呆了,好像真是。因为我那些天手贱不小心在bios里把ssd整个都清空掉了,之前的系统没了,因为着急用电脑就在网上随便找了个windows10的ghost就一键还原了,弄好后的确有个橘子装机大师的软件在开始菜单...。后来因为后续的清除工作操作起来略微有些麻烦,我就直接跟工作人员说我重装得了。
(还是慎用ghost系统,尽量使用安装版的,你永远不知道这些没良心的打包者会封装些什么丧心病狂的东西进去)
这次我直接用QQ搜了下它们官方的群,还有蛮多个的,上次加过一次,不过好像满员了没给我通过。这次加了个四五百人的,几分钟就给我通过了。在群内发了截图后不要5分钟就人和我联系了,效率是真的强大。
之后就开始了远程操作,专业就是专业,我之前处理的时候只懂看下启动项,用杀毒软件杀下毒。她们来操作就是看进程,看附带命令这些东西的,看他们处理这些问题我也学了不少东西,以后自己遇到这些问题到是简单处理一下了。
截止我发文时工作人员已经前前后后帮我弄了一个小时了,他说我系统内的大部分病毒都被我安装的nod32查杀干净了,但是任务计划里有一个自动下载的任务没关掉导致后续又重新中毒了,但是这个任务计划我记得我是关过的,然后小哥说那我再给你看看还有残留么,真的是很替诶心哎。
最后,我发现火绒的这个安全工具火绒剑是真的强大啊,小哥用这个工具一通操作,看进程,看程序附带执行的命令,附带的子线程什么的,强大的一匹。我之前也看过这个东西,但是用不太懂,果然专业的工具还是要配套专业的知识才能起到正真的作用。
最后的最后,再次真诚感谢火绒,感谢工作人员。
再次强力推荐这款我用了四五年的国产杀毒软件——火绒安全软件:安静,无任何弹窗,卸载也没有什么360,腾讯管家之类的矫情提醒。
排查结果
确定是sqlserver被注入了,木马生成了很多作业脚本用于调起挖矿作业的线程
小哥给出的诊断结果:
“刚刚看了下 是sql server的计划任务在起系统进程 进行挖矿”
“sql server的话 也有可能通过反序列化漏洞(CVE-2019-2725)”
“也有可能是弱口令被暴力破解了”
“这种挖矿为 WannaMin家族的变种 攻击方式有OracleWebLogic(利用漏洞CVE-2017-10271);
建议您更新到最新版本”
我自己了下系统的版本,从安装系统到现在就没开启过更新, 居然有150多个补丁没打