记一次Windows Server 2008 服务器被植入挖矿木马处理

mac2022-06-30  178

概览

CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所以,将部署在IIS上的服务绑定其他端口,Apache使用Porxy进行代理转发

事件概述

问题1:Apache与IIS均无法正常访问

服务刚部署上去时,IIS与Apache上的服务,均很难访问(防火墙已添加80端口准入),以为是服务器部署的问题

解决方案

1、IIS上部署的服务,全部使用127.0.0.1,Apache的Proxy指向127.0.0.1,这样可以减少一步解析 2、Apache调优 httpd.conf中使用httpd-default.conf 、conf/exrtra/http-mpm.conf (在httpd.conf中去掉Include conf/extra/httpd-default.conf、conf/exrtra/http-mpm.conf的#号)

httpd-default.conf KeepAlive On (开启可以提高性能,因为一个页面一般会有多个请求) MaxKeepAliveRequests 50 (这个数目自己根据网页内容调节) KeepAliveTimeout 5 (这个小于Timeout就行) Timeout 15 (连接超时缺省为300,太大了,缩小会减少同时连接数,即上面占用的实际线程数) httpd-default.conf <IfModule mpm_winnt_module> ThreadsPerChild 350 ThreadLimit 350 MaxRequestsPerChild 10000 </IfModule>

问题2:SQL连接本地数据库

Apache进行调优后,部署在Apache上的服务能够正常访问了,但是IIS上的服务依旧无法访问,有时候甚至会弹出502Proxy Error(这是因为Apache代理设置了超时,IIS长时间无响应,Apache拒绝服务),IIS上的网站打开时,TTFB很高,意识到应该是服务器的问题

解决方案

怀疑是SQL的连接非本地,于是将SQL的连接改为本地连接,改了之后,依旧是IIS上的服务访问很不稳定。

问题3:CPU占用率100%–挖矿木马

此时,看到cpu占用率100%,在资源管理器中,查看cpu占用情况,看到一个’处理器空闲时间百分百‘,由于第一次使用Windows Server。以为这是正常现象,一直就没理。但是问题就出现在这里了。过了一段时间,访问依旧不流畅,收到阿里云云盾的提示信息。才意识到,是主机被植入木马用来挖矿了。

解决方案

3.1:异常进程:s.exe

使用windows资源管理器进行监控,很奇怪的是,资源管理器一打开,cpu使用率就会立马下降,根本无法找到到底是哪个进程消耗了大量cpu资源,一点点看进程内有什么特别异常的进程,发现一个名为’s.exe’的进程,不是windows自带的进程,杀掉。

3.2:CPU占用率依旧过高,资源管理器自动关闭

杀掉后,退出远程连接,再次访问网站发现访问正常了。于是就放着不理,过一段时间后,查看cpu使用率,依然是100%。使用资源管理器进行监控,大概5分钟后,资源管理器会自动关闭,然后cpu使用率飙升。 于是,在资源管理器中找到云盾报的那个执行文件(lsass.exe),杀掉,然后服务器就关机了。

3.3:找到挖矿木马,删除

1、在资源管理器中找到lsass.exe,右键,查找地址,找到目录在C:\Windows\Fonts中 2、但是使用文件管理器窗口无法访问,于是在cmd中使用dir/a:h查看隐藏文件,

共找到5个文件, 其中有2个文件是在我服务器更换操作系统的当天生成的(wininit.exe,svchost.exe), 有1个是服务器重启时生成的(lsass.exe)

3、于是删除3个异常文件 del /s /q /f /ah lsass.exe wininit.exe svchost.exe,期间,报错拒绝访问,使用Cacls attrib等命令折腾一番文件权限,发现不行。于是在资源管理器中,将上述3个文件的进程杀掉,再删除即可 4、发现他们用windows自带的服务名来命名挖矿程序

转载于:https://www.cnblogs.com/HeJD/p/8702018.html

相关资源:应急响应-powershell挖矿
最新回复(0)