端午过后的第一天,居然收到阿里云的整改通知短信,说我的云服务器上有挖矿活动!
打开阿里云的App,还真有几个安全事件:
处理经过
远程桌面连接云服务器,相当缓慢;
好不容易进入桌面,鼠标点击反应相当迟缓;调出任务管理器,CPU使用率100%,内存96%;
全是一个Xmrig.exe的进程造成。按照阿里的安全事件提示,找到路径
C:\Windows\System32\config\systemplofile\.moneroocean\
里面有一些Sys、exe文件,还有一个bat文件,编辑它,发现还会生成一个startxmrig.vbs的文件。
搜索windows目录没发现,后来在C盘根目录下发现了,居然每次开机都会生成,主要就是为了启动主程序xmrig.exe。
处理结果
1、删除文件夹.moneroocean,有两处:
C:\Windows\System32\config\systemplofile\.moneroocean
C:\.moneroocean\
以防万一,全屏搜索一次.moneroocean、Xmrig,暂时没有发现其他地方。
2、在注册表、MSConfig里面都找不到哪里生成的vbs文件;百度之后,原来Windows的启动文件夹是在
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\
在里面果然找到了生成vbs文件的批处理文件miner.bat。怒删!!
(危害不大,因为主程序已删;也可以复制到其他地方,以作纪念。)
暂时还找不到vbs从哪里运行生成。
补救措施
- 修改管理员密码;
- 开启Windows防火墙,把可疑IP加入禁入规则;
开启Windows Defender(但它不会把Xmrig视为病毒);- 安装真正的杀毒软件;
- 给系统打补丁;
- 持续关注系统、阿里云的事件报告。