记一次服务器病毒查杀过程:lsass.exe占用内存高
前几天,一大早上班就被用户单位在群里呼叫,说系统登不上去了。我自己试了一下,Web站点能够访问,想上服务器上看看日志上是不是有什么问题。谁知道服务器远程桌面一直无法连接。只能找基础设施同事帮忙查看。这一看简直吓一跳,内存已经被吃满了。请同事帮忙重启了一下,自己登上去看看什么问题。
先说下服务器相关配置:
OS : WinServer 2008 R2 SP1,不通外网,系统无更新补丁
CPU:2核
内存:8GB
网络:内网网段IP地址(仅单位内部访问)
打开任务管理器,查看内存消耗情况,没什么异常。过了一段时间再登上来看看,发下一个叫lsass.exe的进程内存占用率悄悄的上来了。大概2、3十M,看上去没什么,但在短时间内涨到这样,就有些异常了。网上一搜,基本两种方式:1.全盘杀毒 2.打补丁,装更新
微软官方很多地方都是说,这个lsass内存泄漏是由于安装了安全更新 3067505 后导致的。但我这服务器系统更新是关闭的,也就是说并不是因为这个更新导致。但还是按照网上介绍,将这个安全补丁以及解决这个问题的另外一个补丁给打上了。观察一段时间后,仍然未见好转,只能隔两天重启一下系统。直到昨天,也是在网上随意浏览关于服务器安全配置相关的文章,想起查看本机有哪些网络连接。于是自己动手试试,这一试吓得不轻。虽然不通外网,但却发现大量外网IP地址通过445端口建立连接(当然可能并没有真正通信)。查下这几个IP地址,有些甚至是境外的。再看看后面对应的进程ID,赶紧转至任务管理器,查找进程。该进程指向C:\Windows\mssecsvc.exe ,再去网上一番搜索该文件,简直要吓坏,“这是利用永恒之蓝的敲诈病毒”--摘自网络。这下没办法了,只能装个杀毒软件来一次全盘扫描了。
趁着午饭时间,装一个360(虽然对杀毒软件无感,但这次真得感谢人家),对服务器来一次全盘扫描,午饭回来扫的差不多了。处理了几个可疑文件,重启服务器,一切恢复正常了。另外,在防火墙上关闭135、138、139、445端口。目前已观望两日,lsass.exe内存占用也一直保持在5M左右,没有更异常的现象了。
参考连接:
https://blog.51cto.com/11789213/2296108