阿里云服务器提醒发现肉鸡行为,服务器正对外发动 ENternalblue 攻击
tianxiacangshen 2017 年 8 月 16 日 via iPhone 4411 次点击这是一个创建于 3155 天前的主题,其中的信息可能已经有所发展或是发生改变。
不是收到 enternalblue 攻击,而是服务器成了肉鸡向别人发起了攻击,各位大神,这怎么破?
13 条回复 2017-08-16 17:24:19 +08:00
 | 1 xxoxx 2017 年 8 月 16 日 via iPhone 停掉 server、netbios 服务,禁止 135、137、445 端口外联 |
 | 2 u5f20u98de 2017 年 8 月 16 日 服务器被人入侵了,排查有没有 webshell 或者可疑进程、未授权登录的日志,然后根据相关信息修复漏洞并重装系统,防止无法清理的 rootkit 等隐藏的后门。重装完了防火墙加个禁止主动对外连接的规则。 |
 | 3 huage 2017 年 8 月 16 日 最近的攻击确实很多,我也打算重装系统。 新的服务器,都是使用 win s 2016,启用 defender 和防火墙,而且在安全组访问了,做了严格限制,只允许自己知道的端口出入访问。 |
 | 4 KoleHank 2017 年 8 月 16 日  1 不会跟 xshell 的后门有关系吧 |
 | 5 90safe 2017 年 8 月 16 日 看 log 吧 |
 | 6 ZeoZhang 2017 年 8 月 16 日 赶紧关机。 |
 | 7 tianxiacangshen OP @ZeoZhang 为啥?好像运行一下就停止了 |
 | 8 Junfo 2017 年 8 月 16 日 最新紧急事件 更多 2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序 2017-08-15 11:33:10 [肉鸡行为] [ (ECS) xxxxxxxxxxxxx ] 主机有异常进程启动,疑似挖矿程序 检查计划任务、检查所有进程,分别 kill 掉...不知道还会不会再出现 |
| 9 tianxiacangshen OP @Junfo 我也只是把官网提示的进程杀掉了 肉鸡行为 -- EternalBlue (ECS)xxxxxxxxxxxxx 发现服务器正在对外发动 EternalBlue 攻击 进程名:mssecsvc.exe 物理路径:C:/Windows/mssecsvc.exe |
 | 10 jarlyyn 2017 年 8 月 16 日 服务器被入侵了,不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢…… |
 | 11 sofs 2017 年 8 月 16 日 不赶紧备份转移数据和程序,然后重装系统,在这里发啥帖子呢… |
 | 12 xiqingongzi 2017 年 8 月 16 日 先禁掉所有的对外端口,以免因攻击被服务商停掉服务。 然后通过远程登录,上线,将文件打包。 打开一些安全端口,用了下载备份文件 重装业务 |
 | 13 yzmm 2017 年 8 月 16 日 看起来你该重装环境了 |
Select Language