昨天單位這好幾臺機器病毒大爆發,因為都不是專家高手,折騰了很久才清理掉,過程中有些體會,覺得可以寫下來,跟大家作一番交流。
首先是病毒的發現。昨天出現了兩個症狀。
一、在區域網上出現廣播包(arp)暴增,甚至把出口堵死。
二、機器cpu資源耗盡。
用任務管理器可以看到可疑的程序explored.exe和services.exe一起占用cpu近100%(後來才知道,這是因為該病毒是通過服務啟動的),該程序無法停止,登錄檔鍵值:
hkey_local_machine/software/microsoft/windows/currentversion/run
這裡有該項存在,即使將該項刪除,重啟後仍如原樣。這個檔案是存在在windows的system32目錄下,未中毒機器沒有該檔案。因此可基本確認該程序是病毒。
然後是病毒的查殺。這過程中出現兩個問題,一是瑞星開始無法公升級,這是因為病毒本身把出口堵塞,tcp流無法正常傳輸。
我們嘗試了一下,發現可以用防火牆(例如天網)將病毒程式隔離,然後再連網進行公升級。第二個問題是瑞星查毒過程緩慢(查毒前已經將網絡卡先禁用了),這是因為病毒程式explored占用cpu太狠,在無法設定刪除該程序的情況下,可以用任務管理器提高瑞星程序的優先順序(比如實時),這樣瑞星從病毒手中搶過cpu資源來正常地執行。
不過,這次瑞星只查殺了偽裝成svchost.exe的蠕蟲病毒,explored仍然存在。
我們無可奈何下只好採用很笨的方法刪除explored,就是進入安全模式,到windows的system32目錄下直接把該檔案刪除掉。順便也把登錄檔中啟動執行那項也刪掉了。
重啟後,提示有服務出錯,到管理工具下的「服務」一看,才終於發現了該病毒的真實面目:原來「服務」裡面有一欄「windows login」,屬性顯示服務名稱是「mpr」,可執行檔案路徑正是「c:/winnt/system32/explored.exe -services」。
這就說明了為什麼程序中止不了,刪掉登錄檔中系統啟動項也沒用。也就是說,當初應該到服務裡將該服務停止,而不是在任務管理器試圖將其刪除。
最後就病毒查殺的心得作一點小結:上述病毒發作都有一定跡象,例如cpu佔滿,網路頻寬佔滿(可以通過網路連線狀態看,如果後台沒有執行什麼程序,網路介面上收/發包數激增,就很可能是中毒或是連線的網路上有機器中毒),因為平時要保持警惕,發現異常就趕緊查毒。
最好是用查毒軟體,用任務管理器有時被騙,現在的病毒起名往往跟系統程式相似甚至相同,例如explored, **sss(**ss是系統程式),svchost等等。最好知道真正的系統程式所在目錄,例如系統svchost.exe應該在system32下,而病毒可能藏在system32/drivers下。
病毒的自啟動可能通過很多途徑:登錄檔,ini檔案,甚至——象explored這樣——通過服務啟動。
與其中了毒再查再殺,不如切實做好防護措施——補丁,病毒保護,防火牆,乙個都不能少啊!
磁碟資源耗盡故障
實驗案例演示 第一,模擬i節點耗盡故障 1.新增一塊硬碟,分割槽格式化,掛載 1 fdisk dev sdb n p 1 幾次回車跳出 w 2 mkfs.ext3 dev sdb1 3 mkdir disk 4 mount dev sdb1 disk 5 df i disk 確認該檔案系統中i節點的...
磁碟資源耗盡故障
1 磁碟檔案容量耗盡時需要清理或轉移占用大量空間的檔案 2 磁碟檔案數量耗盡 當磁碟被格式化成檔案系統時。檔案系統的inode數量就被固定,如果使用者建立了巨量的細小檔案 耗盡節點 那麼可能出現檔案系統有大量的剩餘磁碟空間,但是使用者無法在建立新的檔案 df i 檢視inode數量 df th 檢視...
一次資源耗盡的教訓
ssh exchange identification read connection reset by peer 我趕緊嘗試登入,果然出現了,然後運維的在機房一查說資源耗盡了 然後老大就開始問裡面都有什麼我們知道的服務,評估一下是否能重啟,重啟後都需要開啟哪些服務,我就直接說了我知道的兩個ci 服...