首页 > 其他分享 >服务器中毒了——菜是原罪

服务器中毒了——菜是原罪

时间:2022-11-02 11:01:59浏览次数:51  
标签:IP 端口 阿里 原罪 中毒 进程 服务器 连接

周五朋友生日,刚吃完饭准备唱歌,接到消息说业务支付失败,问题是银行前置机无法正常和银行建立连接。

image.png

我麻了......

这台服务器是银行那边亲自搭的,说实话我很少去管理:
1、是一台Windows服务器,我也不熟悉(太菜:路走窄了)
2、不知道银行装了什么东西,动了会不会造成其他问题(还是太菜:心里畏惧了)
3、业务量也不大,平时也没出现啥问题(还是太菜:惯性思维)

但是出了问题,不得不管呀,歌也没唱了 ,跑到车库,打开电脑,开始一顿瞎操作。

先去查了所有的监控数据(这个时候就靠它了)。

首先确定CPU、内存、磁盘IO、网络等都是正常的。 image.png image.png image.png

但是发现在问题时间点,前置机的连接数非常高(也许这就是问题的关键)。 image.png

没办法,先试试能不能远程进服务器,发现是OK的。

先使用网络排查三板斧: (1)打开浏览器访问域名,发现无法建立连接。 (2)Ping域名,发现域名可以正常解析。 (3)Telnet IP+Port,发现Telnet不通。

当时也没往连接数已经使用完上想(菜的扣脚)。

然后就去找Windows的事件日志了,日志实在是太多了,多的发麻,看的头晕脑花,不过功夫不负有心人,还是发现点问题,如下: image.png image.png

啥意思?

就是本地端口用完了,没有多余的端口可以分配使用会导致无法与外部通信。

啥意思?

这就要说到TCP三次握手了,TCP客户端和服务器连接时,客户端必须分配一个动态端口,不过这里就继续赘述了,大家都是大佬。

Windows默认动态端口范围是1024-5000,也就是只能发起约4000个Socket连接,然后第一反应就是增大动态端口分配范围(简直太聪明了)。

然后我就更改了注册表([HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]),把端口范围增大到2000,然后重启了服务器(名副其实的SRE(Server Reboot Enginer))。 image.png

服务器重启过后,肯定是可以正常服务了,毕竟没有重启解决不了的问题,如果有,那就再重启几次。

但是事情就这么完了?

当然不,得找找为什么会有这么多连接,正常的业务情况下,不会出现这种问题。

所以就打开控制台,使用natstat -ano,不看不知道,一看吓一跳,发现非常多的链接都是和47.95.x.x进行的。 image.png

我使用netstat -ano | find "47.95.x.x" | find /c "80"一查,刚起的机器,就有2000多个连接了,着实吓到我了。

先问业务方,确认该IP是不是第三方的,得到明确答案不是,我开始慌了。

然后在网上查,发现这个IP是阿里云北京数据中心的。 image.png

一开始以为是阿里云的某些公用云服务,比如阿里云盾、云监控等(懂的都懂)。

所以就直接找阿里咯,得到回复说不是阿里云盾这些服务的IP,我慌的一批,一种不好的预感萦绕心头。

马上把这个IP禁用了,在安全组给限制掉。 image.png image.png

然后从netstat -ano可以发现主要是通过1060这个进程建立连接的 image.png

uqccmg这个进程一看就非常规进程(不符合约定俗成的命名规则),当然也要确认一番。

得到准确答案后,尝试杀掉该进程,杀了又起,杀了又起,抓麻了。

然后通过进程去找到了文件, image.png

看这非主流的图标,中毒无疑了。

试着删除该文件,当然是失败了,不过,也知晓了改进程是通过.net服务托管着的,那我就把.net停掉呗,反正没用这个服务。 image.png

停掉过后,确实可以杀该进程,而且也没有再启动了,连接也少了。

BUT,不要那么乐观......

病毒还是在的,只是没起了而已,仅此而已。

所以只有借助杀毒软件了,下了一个火绒,居然发现17个风险项目。 image.png

先通过杀毒软件把这个病毒干掉,具体有没有干干净我也不知道了(菜是原罪)。

业务现在可以正常使用,socket连接也是正常的,没再发现可疑进程 。

但是,心里总是没底,最好的办法还是重装,这还需要评估下迁移和安装成本,主要不是咱们自己安装,也不知道.....

通过这个经历,发现自己还是太菜:
1、没有做好系统安全加固,没有安装杀毒软件啥的,主要是阿里云的云盾太贵.....
2、没有经常检查服务器,没做好日常巡检
3、开放了没必要开放的端口(银行开的,我也不敢关,咋办?)
4、对Windows服务器天生逆反之心

最后,一句话总结:太TM菜了。

标签:IP,端口,阿里,原罪,中毒,进程,服务器,连接
From: https://blog.51cto.com/u_7834466/5816060

相关文章

  • aws 通过Session Manager 进入服务器
    aws服务器默认不可以像阿里云,azure等一样通过VNC或者serialconsole登录到服务器笔者在此记录aws通过SessionManager进入服务器的流程安装ssh-agent例如Debian系统,......
  • 记录一次实验室linux系统的GPU服务器死机排查过程——某显卡满负荷导致内核进程超时导
    在自己没有管理多台高负荷的ubuntu显卡服务器之前,我是万万想不到linux服务器居然也是如此容易死机的。什么每个版本的TensorFlow调用显卡驱动时和内核不兼容,什么系统自动......
  • solr服务器
    目标:solr的概念solr服务器的搭建和使用solr中导入数据库数据项目中怎么使用solr实现商品搜索功能一.solr相关概念1.1什么是Solr?solr是一个独立的企业级搜索应用服务器,它......
  • 阿里云服务器中XAMPP(Apache)无法用外网访问的原因之一
    我的httpd.conf文件(如图1)中的Listen配置为了8081(如图2),并将httpd-xampp.conf中的Requirelocal全部修改为了Requireallgranted,但仍无法用外网访问,最终发现是自己的阿里云服......
  • Springboot 项目打成jar包部署到服务器中的方式
    Springboot项目打成jar包部署到服务器中的方式前言:目前,前后端分离的架构已成主流,而使用SpringBoot构建Web应用是非常快速的,项目发布到服务器上的时候,只需要打成一个jar包......
  • 25Jmeter之服务器性能资源监测-Jconsole &Linux命令
    一.通过Jconsole进行监控服务器资源情况Jconsole是一个内置Java性能分析器,可以轻松地使用JConsole来监控Java应用程序性能和跟踪Java中的代码。(1)开始—运行—输......
  • 23Jmeter之服务器性能资源监测-Jmeter插件
    如何监控服务器CPU、内存、磁盘、网络等相关资源?需要下载三个文件,其中JMeterPlugins-Standard和JMeterPlugins-Extras是客户端的,ServerAgent是服务端的。前两个的下载地址......
  • 24Jmeter之服务器性能资源监测-nmon
    通过nmon进行监控服务器资源情况1.认识nmon(1)简介nmon是一种在AIX与各种Linux操作系统上广泛使用的监控与分析工具,它能在系统运行过程中实时地捕捉系统资源的使用情况,记......
  • web服务器12 中间件函数
    //1,导入expressconstexpress=require('express')constapp=express()//3定义一个中间件//constmw=(req,res,next)=>{//console.log('中间件');//......
  • 游戏服务器架构:如何避免缓存积累延迟
    不管使用TCP还是KCP,你都不可能超越信道限制的发送数据。TCP的发送窗口SNDBUF决定了最多可以同时发送多少数据,KCP的也一样。当前发送且没有得到ACK/UNA确认的数据,都会......