浅谈一下就在昨天公司服务器遭受ZombieBoy感染后处理的方法。

昨天开发那边的主管说有一台线上的服务器挂掉了,那是一台托管在云浮的真实服务器,一直是由开发那边管理。

我登录到服务器上后先查看了一下服务器正在运行的服务,大概就是VNC,WAMP,再然后开始看服务器日志,日志上面有大量的远程登录失败的错误日志,IP大多数都是国外的。有人在尝试暴露破解这台服务器修改了远程登录的端口,用防火墙封掉除了公司以外的远程连接。

还有大量这样的报错

警告    2018/10/10 9:13:41    Microsoft-Windows-Resource-Exhaustion-Detector    2004    资源消耗诊断事件    Windows 成功诊断出虚拟内存不足的情况。以下程序使用了大部分虚拟内存: mysqld.exe (2964) 使用了 242814976 字节;VisualSVNServer.exe (1800) 使用了 144437248 字节;CPUInfo.exe (7448) 使用了 45182976 字节。

并且时间和服务器崩掉的时间非常吻合,看似是这些正常的进程把服务器资源耗尽了出现了问题,实际上不然,服务器没有理由在这个时间段因为这些进程的运行导致资源耗尽崩掉。

直到我又看见了这个报错

错误    2018/10/16 15:31:51    Service Control Manager    7034    无    服务 Aamqcygqqeqkia 意外停止。这发生了 1 次。,

Aamqcygqqeqkia?这个服务我感觉我完全没有听过啊!回首!浏览器,百度

Wate?挖矿?到了这里,开始找关键字,果不其然Aamqcygqqeqkia是ZombieBoy挖矿病毒释放的一恶意软件74.exe解密参数的一个。然后我先了解了一下ZombieBoy的感染流程以及其释放的恶意软件的位置。在服务器上多处找到和网上描述相符的恶意软件。

实锤!肯定是感染ZombieBoy了,知道了问题就开始解决问题了,这类的挖矿病毒一旦感染会释放一堆有裙带关系的恶意软件,各种依赖,一个一个删,不仅费事,还删不掉。得用杀毒软件,我撇弃了安全狗,云锁这类的软件,上了一个360企业版杀毒软件,这里不得不提一句,虽然对于360软件植入的广告,让我深恶痛绝,但是在杀毒这一块,360在国内做的还是非常不错的,下载了一个360企业版的杀毒软件开始进行全盘杀毒,用完360了其实病毒就已经被删除的差不多了,但是还是建议一个一个的去排查一下。确定清理干净了再重启一次服务器

ZombieBoy的注册表,需要删除

SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc

删除恶意软件释放的文件:

C:\%WindowsDirectory%\sys.exe
C:\windows\%system%\boy.exe
C:\windows\IIS\cpuinfo.exe
C:\Program Files(x86)\svchost.exe
C:\Program Files\AppPatch\mysqld.dll
C:\Program Files(x86)\StormII\mssta.exe
C:\Program Files(x86)\StormII\*

 

Last modification:December 2nd, 2018 at 09:39 pm
如果觉得我的文章对你有用,请随意赞赏