2017-04-06 11:36:41
是这样的,这是一台教育网的服务器,私有地址,但是能访问外网,具体路由就没去管。
去年4月份电教馆(这台服务器放在电教馆机房)看机房的说我们这台服务器在攻击其他服务器,然后我们公司的技术就装了个安全狗,(具体也没什么设置,我感觉是为了心里安慰)就没管了,然后这服务器时不时的就抽风,断网(ping不通,远程连接超时)
我昨天来这边接手这台服务器,中午12点左右就断网了,之前的技术说经常发生,不用管,下午就好了,下午2点过,还是没恢复,就给机房那边打电话,重启一下,重启后,马上能用,但是没过多久又断网了,所以我怀疑是有问题,今天早上我就远程上去看看,问题情况:
1、任务管理器打不开,上传一个自己本机的任务管理器也打不开(Server:2008r2d,client:win8)。
2、隔一会就卡,不知道是本地网络问题还是服务器问题。
3、从日志上看,11点到1点没有任何报错警告,只有个WMI RServer Adapter警告(是应用程序),而且这个报错是11点59,我们12点连服务器的时候就连不上了。
4、然后C盘很多vbs脚本,内容我看了下,都指向了C:\Program Files (x86)\Common Files\NT\smetts.exe,然后我就进去看了下,主要是百度也百度不到这个程序的信息,然后我就google下,到了virscan.org这个网站,然后我把这个smetts.exe丢上去扫描了下,大部分杀毒软件扫出来是木马或者后门。
5、我就基本确定是木马,然后准备去删除这个文件,但是删除的时候提示WMI RServer Adapter这个服务启动了这个进程,无法删除,我感觉是木马的概率更大了,在服务里找到WMI RServer Adapter,但是不能关闭,只能禁用了再重启,然后我就用cmd 把进程强制关了,再删除。。。
6、最后再全盘扫描整个程序,没有发现残留。
基本解决,hacker是怎么进去的还不知道,毕竟一年前的事了,当时又不是我处理的,只有再观察一段时间,最好是重启一次看木马还会不会再产生,因为服务器使用率很高,暂不重启。