阿里云服务器提醒发现肉鸡行为,服务器正对外发动 ENternalblue 攻击
tianxiacangshen · 2017-08-16 07:45:12 +08:00 via iPhone · 3894 次点击这是一个创建于 2648 天前的主题,其中的信息可能已经有所发展或是发生改变。
不是收到 enternalblue 攻击,而是服务器成了肉鸡向别人发起了攻击,各位大神,这怎么破?😫😫😫
13 条回复 • 2017-08-16 17:24:19 +08:00
 |
1
xxoxx 2017-08-16 07:47:33 +08:00 via iPhone
停掉 server、netbios 服务,禁止 135、137、445 端口外联
|
 |
2
u5f20u98de 2017-08-16 08:08:00 +08:00
服务器被人入侵了,排查有没有 webshell 或者可疑进程、未授权登录的日志,然后根据相关信息修复漏洞并重装系统,防止无法清理的 rootkit 等隐藏的后门。重装完了防火墙加个禁止主动对外连接的规则。
|
 |
3
huage 2017-08-16 08:19:30 +08:00
最近的攻击确实很多,我也打算重装系统。
新的服务器,都是使用 win s 2016,启用 defender 和防火墙,而且在安全组访问了,做了严格限制,只允许自己知道的端口出入访问。 |
 |
4
KoleHank 2017-08-16 08:31:46 +08:00  1
不会跟 xshell 的后门有关系吧
|
 |
5
90safe 2017-08-16 08:47:25 +08:00
看 log 吧
|
 |
6
ZeoZhang 2017-08-16 08:49:31 +08:00
赶紧关机。
|
 |
7
tianxiacangshen OP @ZeoZhang 为啥?好像运行一下就停止了
|
 |
8
Junfo 2017-08-16 10:21:29 +08:00
最新紧急事件 更多
2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序 2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序 检查计划任务、检查所有进程,分别 kill 掉...不知道还会不会再出现 |
|
9
tianxiacangshen OP @Junfo 我也只是把官网提示的进程杀掉了
肉鸡行为 -- EternalBlue (ECS)xxxxxxxxxxxxx 发现服务器正在对外发动 EternalBlue 攻击 进程名:mssecsvc.exe 物理路径:C:/Windows/mssecsvc.exe |
 |
10
jarlyyn 2017-08-16 10:54:29 +08:00
服务器被入侵了,不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢……
|
 |
11
sofs 2017-08-16 11:07:02 +08:00
不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢…
|
 |
12
xiqingongzi 2017-08-16 12:20:01 +08:00
先禁掉所有的对外端口,以免因攻击被服务商停掉服务。
然后通过远程登录,上线,将文件打包。 打开一些安全端口,用了下载备份文件 重装业务 |
 |
13
yzmm 2017-08-16 17:24:19 +08:00
看起来你该重装环境了
|
Select Language