最近一段时间机房算是很安逸,但是在安逸之余也难免会有一些不和谐的小插曲,事情是这样的,接到客户反映说机房整体的网络很慢,所以就去尝试着ping了几个机器,发现有不同程度的丢包情况,连接了几台服务器从服务器ping网关,延迟很高,也有不同程度的丢包,所以判断局域网中的服务器应该是有中招的了。
经过一段时间的抓包分析,找到了这台出故障的机器,也联系了客户,可是服务器客户的技术不在,所以暂时无法去处理,既然影响到了其他客户,也不能就让这个服务器一直这样下去,经过客户的准许,我决定帮客户处理这个发包的问题,简单询问之后,客户说自己的服务器里面什么也没有放,只放了一个网站,所以对网站进行了全面的扫描,修复后,将网络连上,发现并没有恢复,只能再次重新扫描其他关键位置, 经过一番查找,发现客户的机器是中了一种叫DbSecuritySpt 的病毒,中了这种病毒的表现就是疯狂的发包,进程中会多出很多随机数字的进程,并且在启动项和服务中都关联DbSecuritySpt..exe启动进程,CPU使用率100%,网络使用率100%。既然找到了这些,那么先把这些全部恢复原样,首先取消掉启动项,然后禁用服务,发现任务管理器中的数字进程服务仍然存在,没办法只能先重启进入安全模式,然后找到进程所指向的临时文件夹,文件夹是windows的临时文件夹,当打开文件夹是我才知道这个病毒强大感染力,在temp文件夹整整生成了将近30多GB的碎文件,清理了很长时间才删掉,删掉文件后,重启进入系统,重新连接网络,cpu 和网络使用率都在正常范围了,可是仍然有些不放心,决定下一个杀毒重新再扫描一下。清理了剩下的残留文件,到此over。
不过在服务器的使用过程中出了注意服务器的安全之外,也要注意平时使用习惯,形成定期备份数据的好习惯,如果一旦发现服务器中毒或者是被入侵的情况应该及时杀毒或重新安装系统。避免自己的数据损失,总之数据无价。
TAG: