本週初的時候,忽然發現部門服務器C盤動不動就滿了,導致應用程序全都停止響應了。當時很是奇怪,C盤剩餘的十幾個G不應該在兩天之內就被佔滿了呀。懷疑歸懷疑,因為太忙,就沒太管。
直到後來有一天,忽然發現服務器上的虛擬機無法啟動了,一查原因居然是文件名被加上了“.id[3887BAE2-2921].[[email protected]].eking”的後綴。我試著把後綴去掉,再改回“.vdi”的格式,可發現改回來虛擬機依舊無法識別文件。因為之前有被虛擬機軟件坑過的經歷,所以以為又是虛擬機異常關閉造成文件被損壞了。除了有些小鬱悶之外(又得重做一遍虛擬機系統、安裝各種軟件了),倒也沒多想。先放放再說吧,等爺哪天有空了再說。
於是又過了兩天,忽然發現服務器上很多文件後綴名都被加上了諸如“.[[email protected]].eking”的後綴。
我試著把原本是txt格式的文件的後綴再改回.txt,發現文件內容依舊是亂碼。直覺告訴我,事情沒有想象的那麼簡單了。於是趕緊導出svn服務器裡的各種資料文件。還好,svn服務器還能正常使用。就在導出的同時,我發現電腦中所有的exe、bat等可執行文件全部被改名了,還有txt、xml等文件,以及大部分的jpg等圖片文件也全部被改名了。而正在運行的可執行程序,也紛紛地停止服務……在這一刻,我直覺得兩眼一黑,感覺世界末日都要來臨了!就好像三體快到結尾處太陽系被二向箔一點點吞沒般恐怖!
幸好,svn服務器上的資料沒用太長時間就全部備出來了。為了防止病毒將svn的備份文件也破壞掉,我趕緊把後綴改為黑客們不感興趣的名字了。為了防止USB接口給備份用的移動硬盤帶毒,我特意通過網絡共享的方式將備份出的文件拷貝到本機了。
然而,就在我備份完畢後的五分鐘之後,svn server也應聲倒地,svn server可執行程序所在的文件夾變成了這幅慘狀:
真是蒼天有眼,謝天謝地!
於是,我趕緊百度,發現原來部門的服務器被勒索了!憑藉早年我當“紅客”積累的些許經驗,我準確的找到了病毒的老巢:
更沒想到的是病毒居然是用一個普通權限的賬戶啟動的!瞬間刷新了我的三觀!於是果斷刪掉了病毒。
我們的團隊太小,肯定支付不起鉅額的贖金,無奈之下只好重做了系統。為了在有生之年能等到解密程序出爐,我沒捨得直接格盤。為了防止盤裡帶毒進而影響到新裝的系統,乾脆把原來的所有硬盤全卸下來了,買了塊新盤搭上了,還把操作系統換成了Windows Server 2016。
之前網上一直傳說Win7不再升級了,所以安全性不再有保證了。我對這個一直不懈。個人感覺Win7比起之前的XP系統安全性不知提升了多少個層級,所以即便不再更新,也不應該會有多大問題的。更何況還有殺毒軟件在保駕護航那。自以為可以高枕無憂了。沒想到會栽倒在一個Win7普通用戶的權限這裡!
當把服務器的操作系統換成了Windows Server 2016後,我果斷創建了一個只能執行一般權限,並只對個別目錄有讀取權限的賬戶,還安裝了小紅傘殺毒軟件。還把svn備份文件順利還原了,這顆懸著的心才稍微放下來點兒。
於是這才開始重新安裝虛擬機。因為Windows Server 2016有了自帶的Hyper-V,微軟自家的東西,估計兼容性要比其他虛擬機軟件強很多。我便不再嘗試之前一直在用的VB和VM了。
第一次用Hyper-V,感覺還可以吧,除了需要配置一個虛擬網絡才能讓虛擬機聯網外,其他概念並沒有太大的區別。於是開始安裝Ubuntu虛擬機,緊接著又裝了ssh-server和docker,並將原來的各種容器一一恢復。總算可以長舒一口氣了!
今早想起另一臺數據庫服務器也還裸著,就來公司計劃給數據庫服務器也裝一下小紅傘。剛到公司,說看看昨天新裝的應用服務器的運行狀況吧,看了下,運行良好,只是CPU利用率維持在100%左右。職業習慣促使我看了下是哪個程序佔用這麼高,發現是昨天新裝的Ubuntu虛擬機。還好,主機本身是沒問題的。於是就開始給數據庫服務器安裝小紅傘。
過了一會兒,我又登錄進了應用服務器,發現CPU的利用率還維持在100%。這就奇怪了,這會兒就一個同事在用,而且只是請求一個簡單的http,不應該導致虛擬機的CPU利用率飆到這麼高呀。
於是我進到Ubuntu裡看了下,發現有個名叫kdevtmpfsi的進程導致虛擬機的CPU利用率佔滿了。因為我對linux不是很熟悉,再加上這個賬戶是以root身份啟動的,我怕是什麼系統服務,就沒太在意。
過了一會兒,我越想越覺得事有蹊蹺,那就看看這個程序的路徑吧,發現是在/tmp下,那就不是什麼重要的程序了,於是果斷將其終止。
然而不到兩秒鐘,它又來了!我試著再次將其終止後又對可執行程序進行了重命名,發現它又回來了!於是趕緊百度,發現我才裝了不到12個小時的新虛擬機竟被當做挖礦機了!
真是命運多舛!我只好重新再來一遍了!
不行!身為一個沒落的“紅客”,我怎麼能受這樣的窩囊氣哪?於是我趕緊將root的ssh登錄權限給去掉了,並將工作用戶的密碼設為了複雜密碼。這下/tmp目錄下再也沒有礦機了!CPU利用率也終於穩定在到1%左右了。
然而這還沒結束,一個小時之後,當我無意中說再看下CPU的利用率吧,竟然又飆到100%了!這次居然是以當前登錄的普通用戶運行的挖礦程序,還是在/tmp下創建的同名程序。好吧,非得逼爺爺我動粗!
於是,我首先將礦機程序清除,然後創建了一個與礦機程序同名的文件夾,並將其讀寫及可執行權限全部從當前用戶移除了。這裡我用到了一個操作系統的一個小技巧——當創建一個文件時,如果有同名的文件夾存在,那麼這個文件就無法創建成功。就這樣,我成功的把礦機的下腳處給佔了,礦機也就無處顯形了。
在持續觀察了五個多小時後,到目前為止挖礦機再也沒啟動,應該是沒有問題了。
總結一下自己的慘痛“經歷”,奉勸大家遵守如下最起碼的安全規程:
第一、 機器的密碼一定不能設置的太簡單
第二、 一定要給機器安裝靠譜的殺毒軟件,推薦卡巴斯基、小紅傘等百年軟件
第三、 除非特殊情況下,否則一定不要使用超級管理員賬戶來工作或操作,最好將超級管理員賬戶禁用或改名
第四、 工作用戶的權限一定要進行嚴格的限定,防止對系統關鍵文件產生破壞
最近病毒和木馬肆虐,再加上中美貿易戰的影響,很多機房都被美國黑客給攻擊了。所以請大家做好防護。
希望自己上述的經歷能給大家帶來一點啟發和幫助。
