记一次遇到挖矿程序的经历[通俗易懂]

记一次遇到挖矿程序的经历【通俗易懂】就在前几天，遇到一个挖矿程序被偷偷安装在ECS阿里云服务器上的经历。那是一个阳光明媚的早晨。我像往常一样来到公司，倒了一杯水，等电脑开机，然后又打开几个系统进行日常维护。结果发现其中一个OA系统无法正常打开。一开始以为是网络问题，后来发现打开其他网站都正常，于是登上服务器一探究竟。登录云服务器后，重启OA服务，发现报错，提示连接线程池无法连接。根据提示，怀疑无法连接到本地部署的数据服务器……

大家好，我是建筑师，会写代码，会背诗的建筑师。今天讲一个遇到挖矿程序的经验【通俗易懂】，希望能帮助大家提高！！！

就在几天前，我在阿里云服务器的ECS体验中遇到了一个挖矿程序。

这是一个阳光明媚的早晨。我像往常一样来到公司，倒了一杯水，等电脑开机，然后又打开了几个系统进行日常维护。

结果有一个OA系统，发现无法正常打开。一开始以为是网络问题，后来发现打开其他网站都正常，于是登上服务器一探究竟。

登录云服务器后，重启OA服务我有一个挖矿系统，发现报错，提示连接线程池无法连接。根据提示，怀疑是本地部署的数据服务器无法连接。我在云服务器上ping数据服务器的1433端口，发现无法ping通。

上周下班的时候想了想，配置也没做任何改动，怎么会这样？

灵感，打开资源管理器，发现一个叫windows Microsoft的程序占用了87%的CPU资源：

p>

看到这里，我觉得有些不对劲。右键查看进程的文件位置。打开后就是这样一个exe文件：

众所周知，lsass.exe是系统文件，用于本地安全和登录策略，不可能一次占用87内存。

这时候，我的IT同事进来告诉我，他们收到了阿里云服务器被攻击的消息：

一瞬间真相大白。我发现伪装成lsass.exe的文件应该是所谓的挖矿程序，发现后阿里云服务器自动关闭了所有端口，导致我这台服务器上的OA系统无法启动（因为无法连接本地数据库））。

那个时候也是比较紧急的情况，然后我还从来没有遇到过类似的情况。虽然我也在网上查了一些资料和方法，但不敢随意使用。因为主要操作是删杀，怕删了不该删的东西，所以还是觉得找到了阿里云团队，立马下工单让对方解决问题（对方也花了半天多的时间解决了，下午2点）通知我们可以使用了），也为自己找出原因以及以后这种情况的解决方法。

根据一些反馈信息，我们猜测漏洞入口应该是我们使用的windows系统自带的远程连接，而我们的远程连接密码是弱密码，被对方暴力破解。

解决的办法是我们的​​远程连接尽量使用强密码，从原来的8位到现在的16位。到目前为止，我们的服务器还没有再次被黑客入侵。

想了解更多的同学，可以参考这篇博文了解挖矿程序的机制。 p>

那么由于大部分挖矿程序进程不能直接删除，一段时间后会自行启动，因为挖矿程序是写在系统计划任务中的：

在windows系统下可以通过如下语句查看定时任务和删除定时任务（在CMD中运行如下命令）：

schtasks /query -- 查看计划任务

p>

schtasks /delete /tn "crontab_name" --删除某个定时任务

如果挖矿程序有保护机制，篡改了你系统中的某些功能，导致你无法调用命令，那么你只能到普通电脑上我有一个挖矿系统，将对应的功能文件复制到电脑上删除通过命令尽快完成定时任务并杀死挖矿命令。

猜你喜欢：