记一次服务器病毒查杀过程:lsass.exe占用内存高

       前几天,一大早上班就被用户单位在群里呼叫,说系统登不上去了。我自己试了一下,Web站点能够访问,想上服务器上看看日志上是不是有什么问题。谁知道服务器远程桌面一直无法连接。只能找基础设施同事帮忙查看。这一看简直吓一跳,内存已经被吃满了。请同事帮忙重启了一下,自己登上去看看什么问题。

      先说下服务器相关配置:

OS : WinServer 2008 R2 SP1,不通外网,系统无更新补丁

CPU:2核

内存:8GB

网络:内网网段IP地址(仅单位内部访问)

    打开任务管理器,查看内存消耗情况,没什么异常。过了一段时间再登上来看看,发下一个叫lsass.exe的进程内存占用率悄悄的上来了。大概2、3十M,看上去没什么,但在短时间内涨到这样,就有些异常了。网上一搜,基本两种方式:1.全盘杀毒 2.打补丁,装更新

微软官方很多地方都是说,这个lsass内存泄漏是由于安装了安全更新 3067505 后导致的。但我这服务器系统更新是关闭的,也就是说并不是因为这个更新导致。但还是按照网上介绍,将这个安全补丁以及解决这个问题的另外一个补丁给打上了。观察一段时间后,仍然未见好转,只能隔两天重启一下系统。直到昨天,也是在网上随意浏览关于服务器安全配置相关的文章,想起查看本机有哪些网络连接。于是自己动手试试,这一试吓得不轻。虽然不通外网,但却发现大量外网IP地址通过445端口建立连接(当然可能并没有真正通信)。查下这几个IP地址,有些甚至是境外的。再看看后面对应的进程ID,赶紧转至任务管理器,查找进程。该进程指向C:\Windows\mssecsvc.exe ,再去网上一番搜索该文件,简直要吓坏,“这是利用永恒之蓝的敲诈病毒”--摘自网络。这下没办法了,只能装个杀毒软件来一次全盘扫描了。

 

 

    趁着午饭时间,装一个360(虽然对杀毒软件无感,但这次真得感谢人家),对服务器来一次全盘扫描,午饭回来扫的差不多了。处理了几个可疑文件,重启服务器,一切恢复正常了。另外,在防火墙上关闭135、138、139、445端口。目前已观望两日,lsass.exe内存占用也一直保持在5M左右,没有更异常的现象了。

 

 

 

 

参考连接:

https://blog.51cto.com/11789213/2296108

https://social.microsoft.com/Forums/zh-CN/0e993519-6a09-4a69-be6b-fcfd74bc17b2/lsassexe-3682731243213442999220869233843680739640?forum=windowsserversystemzhchs

https://blog.csdn.net/xuesecaihong/article/details/80841993

http://www.winwin7.com/JC/Win7JC-10086.html

posted on 2020-05-19 09:40  andywangguanxi  阅读(5761)  评论(2编辑  收藏  举报