V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kingmo888
V2EX  ›  分享发现

清明期间,公司电脑被黑了

  •  
  •   kingmo888 · 2018-04-10 16:01:39 +08:00 · 3785 次点击
    这是一个创建于 2448 天前的主题,其中的信息可能已经有所发展或是发生改变。

    RT, 非 IT 行业。几十人小公司。

    我的电脑要做计算,常年不关。内网计算的服务器也是。 以上是背景。


    清明节后上班的路上堵车,手机连了下电脑,提示密码错误,有点奇怪,然而并没有在意。 到公司,开完晨会才坐电脑跟前,结果,输入密码。。。密码错误!我醉了。。

    最后用 PE 的方式消除了密码。 开机,电脑卡的不行,同时发现火绒消失了(估计被卸载),有个高占用进程 skpagaent.exe (查看属性,有个原名,搜了下,是个挖矿的)。结束,打开 chrome,开不了。。。

    最终重新下载火绒,然后查杀,fonts 里竟然都放上了类似任务管理器进程名的东西,然后就是服务项,伪装成常规软件启动项。。

    开启联网控制,svchost.exe 老是连接某个 IP,封!再全盘查杀。

    查看系统日志,艹,被清除。。。


    服务器上(本机保存了远程密码),今天突然有个进程占用 CPU 巨大(跟前文一致),懵逼! 然后右下角火绒没了,我去!厉害了。

    ————————————————————————

    仅仅是吐槽一下自己的渣渣。年纪大了懒了根本就不愿意去过多的操作,事情解决了就 ok 了,像以前,必须重装系统才能心里过得去。

    16 条回复    2018-04-11 11:00:18 +08:00
    ioriwong
        1
    ioriwong  
       2018-04-10 16:16:26 +08:00
    哈哈,那人怎么进来的你不关心一下?
    kingmo888
        2
    kingmo888  
    OP
       2018-04-10 16:17:44 +08:00
    好像没有 append。。
    补充两张图:



    这应该是一起有预谋的。被攻击事件是 4 月 6 日凌晨,程序的修改时间是 3 月 26 日,应该是特意在清明节假期发起攻击的。
    kingmo888
        3
    kingmo888  
    OP
       2018-04-10 16:18:18 +08:00
    @ioriwong 我想关心啊。可是不会查。。通通杀了一下毒,然后看各种日志都没了。
    Admstor
        4
    Admstor  
       2018-04-10 16:23:47 +08:00
    估计你默认的远程端口都没改,默认 3389
    kingmo888
        5
    kingmo888  
    OP
       2018-04-10 16:25:42 +08:00
    @Admstor 这个是必须改的。本机没啥东西,所以没有自动更新 windows 补丁,服务器是提示升级的。因为每天都会登录,所以看到提示后如果没有在计算都会安装(最长不超过推迟 1 周的时间安装)
    kevindu
        6
    kevindu  
       2018-04-10 16:32:37 +08:00
    不明觉厉
    hnbcinfo
        7
    hnbcinfo  
       2018-04-10 16:41:15 +08:00
    前几天我的腾讯云的服务器也被黑了,我的应该是密码太简单的原因。任务管理器找到了个叫“ XMRig ”的挖矿程序,好在那个服务器一直闲置,啥也没有,直接重置系统了。
    Midnight
        8
    Midnight  
       2018-04-10 16:47:04 +08:00
    利益驱使啊,什么事都能干得出来
    goagent
        9
    goagent  
       2018-04-10 16:53:59 +08:00 via iPhone
    ms17-010 了解一下
    kingmo888
        10
    kingmo888  
    OP
       2018-04-10 16:57:17 +08:00
    @hnbcinfo 跟我下面回复的图片里的原名称一样。
    hnbcinfo
        11
    hnbcinfo  
       2018-04-10 17:01:52 +08:00
    @kingmo888 是的,就是它,而且我查到了服务器的登陆日志里,发现有个江苏宿迁的 IP 登陆记录。
    F1024
        12
    F1024  
       2018-04-10 17:04:05 +08:00
    都是挖矿惹的祸
    shakoon
        13
    shakoon  
       2018-04-11 08:17:58 +08:00
    还好只是挖个矿,没给你把数据破坏了。但是数据有没有被窃走楼主最好做一下提前的对策哦
    jisibencom
        14
    jisibencom  
       2018-04-11 08:38:52 +08:00
    既然装了火绒,火绒剑没用一下?
    kingmo888
        15
    kingmo888  
    OP
       2018-04-11 10:53:23 +08:00
    @jisibencom 用火绒剑看了一下服务,清了清。但是就像拿着高端智能手机只用来接电话一样,我不会用啊火绒剑。
    FlyingLion
        16
    FlyingLion  
       2018-04-11 11:00:18 +08:00
    @kingmo888 火绒被卸载,之前有没有给火绒设置过密码?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1296 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:18 · PVG 01:18 · LAX 09:18 · JFK 12:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.