阿里云服务器提醒发现肉鸡行为，服务器正对外发动 ENternalblue 攻击

不是收到 enternalblue 攻击，而是服务器成了肉鸡向别人发起了攻击，各位大神，这怎么破？😫😫😫

xxoxx

2017-08-16 07:47:33 +08:00

停掉 server、netbios 服务，禁止 135、137、445 端口外联

u5f20u98de

2017-08-16 08:08:00 +08:00

服务器被人入侵了，排查有没有 webshell 或者可疑进程、未授权登录的日志，然后根据相关信息修复漏洞并重装系统，防止无法清理的 rootkit 等隐藏的后门。重装完了防火墙加个禁止主动对外连接的规则。

huage

2017-08-16 08:19:30 +08:00

最近的攻击确实很多，我也打算重装系统。

新的服务器，都是使用 win s 2016，启用 defender 和防火墙，而且在安全组访问了，做了严格限制，只允许自己知道的端口出入访问。

KoleHank

2017-08-16 08:31:46 +08:00

不会跟 xshell 的后门有关系吧

90safe

2017-08-16 08:47:25 +08:00

看 log 吧

ZeoZhang

2017-08-16 08:49:31 +08:00

赶紧关机。

tianxiacangshen

2017-08-16 09:48:39 +08:00

@ZeoZhang 为啥？好像运行一下就停止了

Junfo

2017-08-16 10:21:29 +08:00

最新紧急事件更多

2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动，疑似挖矿程序
2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动，疑似挖矿程序

检查计划任务、检查所有进程，分别 kill 掉...不知道还会不会再出现

tianxiacangshen

2017-08-16 10:49:07 +08:00

@Junfo 我也只是把官网提示的进程杀掉了

肉鸡行为 -- EternalBlue (ECS)xxxxxxxxxxxxx
发现服务器正在对外发动 EternalBlue 攻击

进程名:mssecsvc.exe 物理路径:C:/Windows/mssecsvc.exe

jarlyyn

2017-08-16 10:54:29 +08:00

服务器被入侵了，不赶紧备份转移数据和程序，然后重装系统，在这里发啥帖子呢……

sofs

2017-08-16 11:07:02 +08:00

不赶紧备份转移数据和程序，然后重装系统，在这里发啥帖子呢…

xiqingongzi

2017-08-16 12:20:01 +08:00

先禁掉所有的对外端口，以免因攻击被服务商停掉服务。
然后通过远程登录，上线，将文件打包。
打开一些安全端口，用了下载备份文件
重装业务

yzmm

2017-08-16 17:24:19 +08:00

看起来你该重装环境了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/383271

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.