一台服务器,发现中了勒索病毒,部分文件被加密,文件名变成邮箱+BIP,目前系统一直是正常启动状态,但大部分程序已经无法运行。
QQ截图20180628155430.jpg (111.61 KB, 下载次数: 0)
这是一个被加密的文件夹。
这台服务器刚刚重装完没多久,还没正式启用,所以里面啥都没有,空系统。系统为2008 r2,使用淘宝买的序列号激活,没有用任何破解程序。开启了系统更新,并安装了全部最新微软补丁,没有装任何防护程序。登录密码是字母大小写数字符号都有的复杂密码。
服务器中毒已经不是第一次了,以前就出现过好几次。以前以为用了破解程序,没装最新补丁之类的原因,所以现在开始逐步重装系统,用序列号激活,没想到这次还没部署任何东西就又中招了。这台机器没有啥数据,我可以再次重装,但这种情况我可不希望再发生了。现在服务器逐渐转向云主机了,物理机也不打算投入太多成本了,之前因机房限制,也没有啥硬件防火墙之类的。求大家支招,以后预防这种事情,有啥好办法?比如安装软件防火墙之类的,哪种适合服务器的防火墙软件效果好些,成本又不太高?
评论
系统安装盘有毒?ie高级安全被关闭了?
评论
不会,系统安装盘是微软原版刻录的。IE没有动过,系统装完了除了更新啥事都没做
评论
看看局域网里有没有别的服务器中毒。一般都是通过局域网传播的,一般也都是被动中毒的。
评论
目前就发现这一台中毒。这台服务器在托管机房中,局域网也是我自己的其他服务器,病毒源头肯定在外面。我现在头疼如何防范。
评论
难道是SQLserver注入
评论
木有装SQL Server。。。
评论
几个杀软厂商都有免费解密勒索文件的程序,你试试。大牌服务器安全软件还是需要安装的。
评论
大牌服务器安全软件有推荐的吗?免费的往往只能针对具体的某种病毒,我的目的还是做好安全防范。
评论
这个病毒是靠SMB漏洞传播的,新装的2008R2肯定会中招,因为没有打SMB漏洞补丁。
评论
装2016 旧版的系统默认就有漏洞
评论
服务器,可以安装sep 14,清一色兼容。至于费用吗。。。kafan有的。
评论
好吧,这个问题疏忽了,我以为正常update就会装上所有补丁呢
评论
装2016还有难度,因为公司好几个人用惯了2008 r2,劝服他们不容易的
评论
正常update肯定会帮你打上这个补丁的。
估计是还在update,那个就进来了
评论
安装防火墙 关掉不用的端口 然后打完补丁再打开
评论
先找个企业级杀软怼上去再更新
SEP或者MES这种。趋势防毒墙太难搞了就算了。
评论
微软有离线补丁包啊。
装系统后,先打SMB补丁包,再联上网。
评论
高危漏洞下装机,都是这么操作的。
离线装机,打高危漏洞补丁,再联网。
评论
???有难度? 2016和2008R2没什么区别 至少我不觉得他们区别有多大
评论
固定公网IP的话,建议换个IP
评论
关闭端口
第一波勒索病毒的时候 我们这边移动宽带直接关了几个高危端口
评论
开共享就会中 无解
评论
赛门铁克(SEP)、ESET、卡巴斯基、Avira家的服务器版最新版都可以。
评论
这台服务器刚刚重装完没多久,还没正式启用,所以里面啥都没有,空系统。系统为2008 r2,
重装系统、打补丁吧··
评论
打补丁过程中进来的。。。
评论
看截图 系统版本比较老了 估计是漏洞攻击的
升级下最新的系统吧
评论
让老板劝
评论
装好系统立刻用系统自带的防火墙关闭445,135,137等端口,再联网进行update,如果没有硬件防火墙,我还是建议不要开3389端口了 ,哪怕重映射成其他端口也没好大作用
评论
卡巴斯基欢迎您
我之前也一直用的2008 r2,包括桌面平台,最近才用上server 2016,说实话真的超级好用,没有理由守旧不改变,既然是单位的生产力机器,可以直接提交领导安排,系统下载详见这篇帖子:https://www.chiphell.com/forum.php?mod=redirect&goto=findpost&ptid=1659769&pid=39133982
机房,专线,又是独立固定ip,防范不当自然容易成为肉鸡,可以先将系统部署好补丁更新打全后再上线。。。
评论
这不正好有借口找领导批复server 2016么
赶紧打报告
评论
老哥真猛,不打补丁就敢上
评论
你用过火绒吗? 超级好用
评论
服务器系统怎么能用个人版安全辅助软件……
评论
改端口是一點作用都問題,我有兩部機中招了。
评论
我觉得把,你先把系统加密了,就不怕他加密了
评论
服务器什么配置啊?
评论
服务器为什么不用linux?
评论
LZ最后怎么解决的,我也中招了
评论
我之前中了.java后缀的,加密方式很水,小于2M的文件是全加密的,大于2M的,用winhex打开看,只把文件头全部填0了,其他部分完好,我自己把数据库文件和大部分都救了回来,小文件就无解了,除非有密钥,淘宝上解密勒索文件的的2万+毛爷爷一台机器,秒解全加密的小文件,所以我都怀疑是个黑色产业链.
你看看你的加密方式是不是这样,因为大文件要全加密的话,理论上就是把文件重新写入一次,这是很废时间的,所以病毒作者才会用了这个看起来很水的按文件大小分别加密的方式.
服务器中招,无非就是漏洞加爆破,检查这2项,我是被爆破的,我发现的时候所有安全软件统统被关了个干净,所以.....
那次中招因为发现了它加密的方式,自己去拉了点生意,还赚了几万块钱零花,最近又开始攻击了?那些B又缺钱用了?
评论
看来真的是又找到漏洞开始来要钱花了,你这个BIP后缀的我去看了下,大规模爆发,很多人中招了.
看来淘宝搞解密的又要开心几天的,这些黑色产业链国家也没人管管,这些种毒和解密的不是一伙的我直播吃屎
评论
中了这种招我就没想把数据找回来。这次中招的服务器是个空机器,没啥数据,所以直接重装了。别的服务器上数据也有备份,只是恢复起来比较麻烦。数据备份总是王道啊,再就是打好补丁。这次重装后特地搜了smb的漏洞补丁打上。
评论
好像还真是,大文件都TMD前面全是0000
评论
有个阿里云centos 会中招吗
评论
断网装好系统,关闭 SMB1 ,只启用smb2 就不会中勒索病毒。
企业电脑已经可以全部淘汰 smb1 了,除非还在用 windows xp + windows 2003
评论
这种属于黑客入侵服务器后投毒的,杀软一般不是防黑的,必须做好主机防黑才管用。
评论
不会~
评论
windows server容易中招?
评论
服务器当然首选麦咖啡企业版。根据需要制定主动防御规则
评论
会,要开防火墙~
评论
没用过winserver,不知道有什么好的
希望以后也不用吧 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
·日本留学生活 求个大阪合租
·日本留学生活 自家房招租求
·日本留学生活 东京地区出9成新lv钱包
·日本育儿教育 孩子从国内过来如何学习日语
·日本育儿教育 明年四月横滨招月嫂
·日本育儿教育 请问咋让娃突破识字关?感谢分享中文共读和学习经验的妈妈
·中文新闻 东区明星迈克尔·格列柯,53 岁,将在第一次出生两年后第二次
·中文新闻 《爱情岛》明星卡米拉·瑟洛和杰米·朱维特在透露即将迎来第三