V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
PcxQkx
V2EX  ›  互联网

mgj,公司的远程机中病毒了

  •  
  •   PcxQkx · 2020-10-19 10:34:50 +08:00 · 3062 次点击
    这是一个创建于 1501 天前的主题,其中的信息可能已经有所发展或是发生改变。

    快乐周一,今天大早上好不容易没迟到来公司,同事说系统进不去了,以为是电脑问题,结果发现自己也上不去了,远程进远程机发现也进不去·····,跑到机房发现死机了,重启之后发现文件结尾都是 连六六的火绒都 GG 了··············· 不信邪又重启了一遍,结果还是吊样子,百度之后发现是勒索病毒······, 重新装火绒提示不让写入,后来装了个腾讯管家但是没得吊用,杀毒只是删了那些快捷方式。

    后来好不容易找到虚拟机的文件,发现还能用偷偷乐了一下,结果启动之后,我******··········

    不过还好上任运维人好,给我留了几个备份节点····,然后通过节点恢复回来了~

    之前在站里看别人热闹···今天终于轮到自己了···要被吓死了,还好不是服务器····只是远程机·····没啥重要数据······希望人没事····· ̄へ ̄

    顺便请教了下系统那边的售后,他说最近刚给客户恢复过数据,最近有很多 M 和 G 结尾的病毒,售后跟我说,装了火绒最好不要开启远程协助了,因为会扫描 ip 和端口,容易出问题,是这样吗?

    24 条回复    2020-10-20 09:47:11 +08:00
    PcxQkx
        1
    PcxQkx  
    OP
       2020-10-19 10:35:42 +08:00
    本以为装了火绒就放心了····没想到啊··万万没想到···(;へ:)
    murmur
        2
    murmur  
       2020-10-19 10:37:15 +08:00
    这勒索病毒是怎么进来的,是漏洞还是弱密码呗破解了
    paradoxs
        3
    paradoxs  
       2020-10-19 10:38:24 +08:00
    公司内鬼,关掉火绒再开勒索病毒,钱反正是到比特币账户,查不到。
    PcxQkx
        4
    PcxQkx  
    OP
       2020-10-19 10:42:19 +08:00   ❤️ 1
    @murmur 我之前想给远程机做个远程 开了一个端口,然后远程也是打开的,但是后来连不上,·····不过密码确实简单·····123321············我忽然觉得有些问题了
    PcxQkx
        5
    PcxQkx  
    OP
       2020-10-19 10:43:12 +08:00
    @paradoxs 应该不是····公司懂电脑的人不多······话说怎么看 是怎么被植入病毒的
    paradoxs
        6
    paradoxs  
       2020-10-19 10:48:25 +08:00
    @PcxQkx 看不了。 火绒可以加密码,让他们退不掉。
    exploretheworld
        7
    exploretheworld  
       2020-10-19 10:53:40 +08:00 via Android
    ms17-010 的补丁打了吗?
    PcxQkx
        8
    PcxQkx  
    OP
       2020-10-19 11:03:39 +08:00
    @exploretheworld 那个是什么·····
    12101111
        9
    12101111  
       2020-10-19 11:12:36 +08:00
    这病毒还会挂载 vmdk 虚拟硬盘的吗
    jasonyang9
        10
    jasonyang9  
       2020-10-19 11:19:17 +08:00
    从描述看是弱密码被暴力破解了,不是漏洞。如果必须暴露 RDP 到公网可以考虑 SSH 隧道跳板机。
    话说 Windows 怎么才能做密钥登录?永远的痛
    kokutou
        11
    kokutou  
       2020-10-19 11:23:49 +08:00
    服务器和客户机都没打补丁吧...
    PcxQkx
        12
    PcxQkx  
    OP
       2020-10-19 11:30:03 +08:00
    @kokutou 鹅 确实没打补丁···之前都没弄过补丁···
    PcxQkx
        13
    PcxQkx  
    OP
       2020-10-19 11:32:41 +08:00
    @jasonyang9 目前来看确实是这样的 ···汗-,-!
    kokutou
        14
    kokutou  
       2020-10-19 11:37:31 +08:00
    @jasonyang9 #10
    智能卡...
    LoveJava
        15
    LoveJava  
       2020-10-19 12:37:37 +08:00
    好吓人,好在有备份
    icchux
        16
    icchux  
       2020-10-19 14:46:40 +08:00
    @jasonyang9 我们是加个短信验证码登录
    deorth
        17
    deorth  
       2020-10-19 17:00:16 +08:00
    我上周办公机中了挖矿病毒,被 IT 找了。。。要是勒索病毒我就得跑路了。。。
    PcxQkx
        18
    PcxQkx  
    OP
       2020-10-19 17:27:38 +08:00
    @icchux @jasonyang9 @exploretheworld @kokutou 大哥们,有啥好的推荐教程吗,关于排查病毒是如何进入电脑这块的知识,或者给个短链也可以····我想学习下···
    HFX3389
        19
    HFX3389  
       2020-10-19 18:10:35 +08:00
    @PcxQkx #4 密码 123321.....
    HFX3389
        20
    HFX3389  
       2020-10-19 18:12:45 +08:00
    @PcxQkx #18 你这个就是弱密码外加没打补丁,7 楼说的 MS17-010 是之前永恒之蓝利用的漏洞的修补程序,打好补丁加强密码,如果还能限制指定 IP 连入一般不会出问题
    nicevar
        21
    nicevar  
       2020-10-19 18:12:57 +08:00
    火绒只是个轻量级的防病毒软件,不要太迷信了,不管怎样备份才是王道
    kuro1
        22
    kuro1  
       2020-10-19 18:13:47 +08:00
    你这弱密码和裸奔差的不大。。
    d0wnl0ad
        23
    d0wnl0ad  
       2020-10-19 22:45:19 +08:00 via Android
    @jasonyang9 还有 RSA 或者 M365 的 MFA 都可以,前提是有钱😂
    PcxQkx
        24
    PcxQkx  
    OP
       2020-10-20 09:47:11 +08:00
    好的··谢谢各位
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3132 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:40 · PVG 22:40 · LAX 06:40 · JFK 09:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.