RT, 非 IT 行业。几十人小公司。
我的电脑要做计算,常年不关。内网计算的服务器也是。 以上是背景。
清明节后上班的路上堵车,手机连了下电脑,提示密码错误,有点奇怪,然而并没有在意。 到公司,开完晨会才坐电脑跟前,结果,输入密码。。。密码错误!我醉了。。
最后用 PE 的方式消除了密码。 开机,电脑卡的不行,同时发现火绒消失了(估计被卸载),有个高占用进程 skpagaent.exe (查看属性,有个原名,搜了下,是个挖矿的)。结束,打开 chrome,开不了。。。
最终重新下载火绒,然后查杀,fonts 里竟然都放上了类似任务管理器进程名的东西,然后就是服务项,伪装成常规软件启动项。。
开启联网控制,svchost.exe 老是连接某个 IP,封!再全盘查杀。
查看系统日志,艹,被清除。。。
服务器上(本机保存了远程密码),今天突然有个进程占用 CPU 巨大(跟前文一致),懵逼! 然后右下角火绒没了,我去!厉害了。
仅仅是吐槽一下自己的渣渣。年纪大了懒了根本就不愿意去过多的操作,事情解决了就 ok 了,像以前,必须重装系统才能心里过得去。
 | 1 ioriwong Apr 10, 2018 哈哈,那人怎么进来的你不关心一下? |
 | 2 kingmo888 OP 好像没有 append。。 补充两张图:   这应该是一起有预谋的。被攻击事件是 4 月 6 日凌晨,程序的修改时间是 3 月 26 日,应该是特意在清明节假期发起攻击的。 |
 | 4 Admstor Apr 10, 2018 估计你默认的远程端口都没改,默认 3389 |
| 5 kingmo888 OP @Admstor 这个是必须改的。本机没啥东西,所以没有自动更新 windows 补丁,服务器是提示升级的。因为每天都会登录,所以看到提示后如果没有在计算都会安装(最长不超过推迟 1 周的时间安装) |
 | 6 kevindu Apr 10, 2018 不明觉厉 |
 | 7 hnbcinfo Apr 10, 2018 前几天我的腾讯云的服务器也被黑了,我的应该是密码太简单的原因。任务管理器找到了个叫“ XMRig ”的挖矿程序,好在那个服务器一直闲置,啥也没有,直接重置系统了。 |
 | 8 Midnight Apr 10, 2018 利益驱使啊,什么事都能干得出来 |
 | 9 goagent Apr 10, 2018 via iPhone ms17-010 了解一下 |
 | 12 F1024 Apr 10, 2018 都是挖矿惹的祸 |
 | 13 shakoon Apr 11, 2018 还好只是挖个矿,没给你把数据破坏了。但是数据有没有被窃走楼主最好做一下提前的对策哦 |
 | 14 jisibencom Apr 11, 2018 既然装了火绒,火绒剑没用一下? |
| 15 kingmo888 OP @jisibencom 用火绒剑看了一下服务,清了清。但是就像拿着高端智能手机只用来接电话一样,我不会用啊火绒剑。 |
 | 16 FlyingLion Apr 11, 2018 @kingmo888 火绒被卸载,之前有没有给火绒设置过密码? |
Select Language