好久(2-3 个月以上)没有登陆过的一台腾讯云 Windows Service 2008 的服务器今天突然发邮件说发现木马病毒。
路径 C:\Windows\netcore.exe
发现时间 2017-05-04 17:26:39
路径 C:\Windows\winhost.exe
发现时间 2017-05-04 17:26:38
详细问题:服务器只有一个 nginx 做负载挂着几个域名,都在备案,不能访问,其他任何程序都没有装。端口 80/443/3389 什么的都暴露公网,查询腾讯云登陆记录只有我刚才登陆的记录,并且没有暴力破解记录。进程在任务管理器中查看都在启动,netcore.exe 占用 99%CPU。winhost.exe 是一个 csgo 图标的程序。
附:文件下载连接(已打包"疑似病毒文件 170504.zip",有没有毒未知,请谨慎下载)
链接: https://pan.baidu.com/s/1qYygD44 密码: 9yx6
希望知道发生了什么的能帮忙分析下,谢谢了!
This topic created in 3313 days ago, the information mentioned may be changed or developed.
19 replies • 2017-05-05 08:51:52 +08:00
 |
1
wevsty May 4, 2017  1
有允许 SMB 协议?
如果允许了 SMB 协议,那有可能是最近的神洞导致的。 要不然就是 web 方面的漏洞导致的入侵。 |
 |
2
choury May 4, 2017 1
下载下来就被 Windows defender 杀了
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:Win64/SvcMiner |
 |
4
40huo May 4, 2017 via Android 1
一般 445 都是开着的,nsa 神洞秒杀
|
|
6
wevsty May 4, 2017 1
@suhun
检查一下 SMB 有关的端口是不是打开了,外网是不是可以直接访问,如果是的话那估计八九不离十是 SMB 神洞导致的入侵了。 如果是的话建议重装一下,打好补丁,防火墙方面只开放必要的端口以保安全。 |
 |
7
lany May 4, 2017 via Android 1
最近爆的漏洞 server 2008 死了一片
|
 |
9
gamexg May 4, 2017 via Android
一个客户的 2008 上个星期重启了 3 天,帮忙看了转储,就是 smb 漏洞。
|
 |
10
jasontse May 4, 2017 via iPad
这个 0day 至少闹了半个多月了,一票人被勒索比特币。
|
 |
11
stephen9357 May 4, 2017
|
 |
12
AsherG May 4, 2017
被 eav 秒了。。。
|
 |
13
jimisun May 4, 2017 via Android
我的也出现了 学生机
|
 |
15
wtbhk May 4, 2017
就是最近那个 0day,这个锅腾讯云不背
|
 |
17
derpc May 5, 2017
昨天刚买的新机,还没开始用,完全裸奔。一看也中了!
|
 |
18
anyele May 5, 2017 via Android
我其实想问问那些裸奔就光荣的人,还裸奔吗
|
 |
19
akafeng May 5, 2017 via iPhone
腾讯云默认如果没做设置,那就是被秒杀了…
|
Select Language