时间:2017年3月23日
服务器带宽:6M独立带宽,即宽带的速度为6Mbps,bps叫做比特率,即每秒钟传输多少位数据,若换算成Bps(即每秒钟传输多少字节),因为一字节为8位,1Bps=8bps,这是一些基础知识。
正常运营商跟你说你的戴宽师6M,指的是6Mbps,所以换算成每秒钟传输多少字节,传输最大速度大概为6Mbps=6*1024/8=768kB/s,扣去其他的消耗,也就是说6M独立带宽的服务器,最大的传输速度大约为600kb每秒。
服务器操作系统:windows server 2008
今天来公司,同事反应网站反应很慢,于是连了远程进去,确实是很慢,查看任务管理器的联网部分,发现网络的曲线很夸张,如下所示。
而远程也被迫下线了,由图中曲线可知,传输速度峰值达到了1Gbps*50%到1Gbps*100%这么大,远远超过了6Mbps。
正常情况下这部分的曲线应该是这样的。
基本锁定是带宽超出最大带宽造成的问题。
查看服务器安全狗的网络防火墙监控,发现接受udp一项很反常,如图所示。
整整多了三位,肯定有问题。
通过服务器安全狗的tcp与udp监听查询到了一个可疑exe的文件。杀毒软件提示是病毒。但是我想删除却不让删,因为该文件正以服务的形式在运行,遂停止该服务。如图所示。
这也给我们一个警示,以后遇到一些命名很不规范的服务,就要小心了,很有可能就是黑客建立的服务。
顺藤摸瓜查到了另外两个很可疑的服务。
将起禁用之后,服务器的反常现象也消失了。
用ping xxx.xxx.xxx.xxx -t命令看,不会显示连接超时。可见服务器重新正常运行。
然后安装了360杀毒软件,对服务器进行了全盘查杀。杀出一个特洛伊木马和一堆被感染的文件,扫描日志如下。
算是初步解决了这次攻击,但是具体是如何入侵的,还需要下一步去寻找解决。