RT, 非 IT 行业。几十人小公司。
我的电脑要做计算,常年不关。内网计算的服务器也是。 以上是背景。
清明节后上班的路上堵车,手机连了下电脑,提示密码错误,有点奇怪,然而并没有在意。 到公司,开完晨会才坐电脑跟前,结果,输入密码。。。密码错误!我醉了。。
最后用 PE 的方式消除了密码。 开机,电脑卡的不行,同时发现火绒消失了(估计被卸载),有个高占用进程 skpagaent.exe (查看属性,有个原名,搜了下,是个挖矿的)。结束,打开 chrome,开不了。。。
最终重新下载火绒,然后查杀,fonts 里竟然都放上了类似任务管理器进程名的东西,然后就是服务项,伪装成常规软件启动项。。
开启联网控制,svchost.exe 老是连接某个 IP,封!再全盘查杀。
查看系统日志,艹,被清除。。。
服务器上(本机保存了远程密码),今天突然有个进程占用 CPU 巨大(跟前文一致),懵逼! 然后右下角火绒没了,我去!厉害了。
————————————————————————
仅仅是吐槽一下自己的渣渣。年纪大了懒了根本就不愿意去过多的操作,事情解决了就 ok 了,像以前,必须重装系统才能心里过得去。
1
ioriwong 2018-04-10 16:16:26 +08:00
哈哈,那人怎么进来的你不关心一下?
|
2
kingmo888 OP 好像没有 append。。
补充两张图: 这应该是一起有预谋的。被攻击事件是 4 月 6 日凌晨,程序的修改时间是 3 月 26 日,应该是特意在清明节假期发起攻击的。 |
4
Admstor 2018-04-10 16:23:47 +08:00
估计你默认的远程端口都没改,默认 3389
|
5
kingmo888 OP @Admstor 这个是必须改的。本机没啥东西,所以没有自动更新 windows 补丁,服务器是提示升级的。因为每天都会登录,所以看到提示后如果没有在计算都会安装(最长不超过推迟 1 周的时间安装)
|
6
kevindu 2018-04-10 16:32:37 +08:00
不明觉厉
|
7
hnbcinfo 2018-04-10 16:41:15 +08:00
前几天我的腾讯云的服务器也被黑了,我的应该是密码太简单的原因。任务管理器找到了个叫“ XMRig ”的挖矿程序,好在那个服务器一直闲置,啥也没有,直接重置系统了。
|
8
Midnight 2018-04-10 16:47:04 +08:00
利益驱使啊,什么事都能干得出来
|
9
goagent 2018-04-10 16:53:59 +08:00 via iPhone
ms17-010 了解一下
|
12
F1024 2018-04-10 17:04:05 +08:00
都是挖矿惹的祸
|
13
shakoon 2018-04-11 08:17:58 +08:00
还好只是挖个矿,没给你把数据破坏了。但是数据有没有被窃走楼主最好做一下提前的对策哦
|
14
jisibencom 2018-04-11 08:38:52 +08:00
既然装了火绒,火绒剑没用一下?
|
15
kingmo888 OP @jisibencom 用火绒剑看了一下服务,清了清。但是就像拿着高端智能手机只用来接电话一样,我不会用啊火绒剑。
|
16
FlyingLion 2018-04-11 11:00:18 +08:00
@kingmo888 火绒被卸载,之前有没有给火绒设置过密码?
|