记两天与木马惊心动魄的斗争经历

本周初的时候，忽然发现部门服务器C盘动不动就满了，导致应用程序全都停止响应了。当时很是奇怪，C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑，因为太忙，就没太管。

直到后来有一天，忽然发现服务器上的虚拟机无法启动了，一查原因居然是文件名被加上了“.id[3887BAE2-2921].[holylolly@airmail.cc].eking”的后缀。我试着把后缀去掉，再改回“.vdi”的格式，可发现改回来虚拟机依旧无法识别文件。因为之前有被虚拟机软件坑过的经历，所以以为又是虚拟机异常关闭造成文件被损坏了。除了有些小郁闷之外(又得重做一遍虚拟机系统、安装各种软件了)，倒也没多想。先放放再说吧，等爷哪天有空了再说。

于是又过了两天，忽然发现服务器上很多文件后缀名都被加上了诸如“.[holylolly@airmail.cc].eking”的后缀。

我试着把原本是txt格式的文件的后缀再改回.txt，发现文件内容依旧是乱码。直觉告诉我，事情没有想象的那么简单了。于是赶紧导出svn服务器里的各种资料文件。还好，svn服务器还能正常使用。就在导出的同时，我发现电脑中所有的exe、bat等可执行文件全部被改名了，还有txt、xml等文件，以及大部分的jpg等图片文件也全部被改名了。而正在运行的可执行程序，也纷纷地停止服务……在这一刻，我直觉得两眼一黑，感觉世界末日都要来临了！就好像三体快到结尾处太阳系被二向箔一点点吞没般恐怖！

幸好，svn服务器上的资料没用太长时间就全部备出来了。为了防止病毒将svn的备份文件也破坏掉，我赶紧把后缀改为黑客们不感兴趣的名字了。为了防止USB接口给备份用的移动硬盘带毒，我特意通过网络共享的方式将备份出的文件拷贝到本机了。

然而，就在我备份完毕后的五分钟之后，svn server也应声倒地，svn server可执行程序所在的文件夹变成了这幅惨状：

真是苍天有眼，谢天谢地！

于是，我赶紧百度，发现原来部门的服务器被勒索了！凭借早年我当“红客”积累的些许经验，我准确的找到了病毒的老巢：

更没想到的是病毒居然是用一个普通权限的账户启动的！瞬间刷新了我的三观！于是果断删掉了病毒。

我们的团队太小，肯定支付不起巨额的赎金，无奈之下只好重做了系统。为了在有生之年能等到解密程序出炉，我没舍得直接格盘。为了防止盘里带毒进而影响到新装的系统，干脆把原来的所有硬盘全卸下来了，买了块新盘搭上了，还把操作系统换成了windows Server 2016。

之前网上一直传说Win7不再升级了，所以安全性不再有保证了。我对这个一直不懈。个人感觉Win7比起之前的XP系统安全性不知提升了多少个层级，所以即便不再更新，也不应该会有多大问题的。更何况还有杀毒软件在保驾护航那。自以为可以高枕无忧了。没想到会栽倒在一个Win7普通用户的权限这里！

当把服务器的操作系统换成了Windows Server 2016后，我果断创建了一个只能执行一般权限，并只对个别目录有读取权限的账户，还安装了小红伞杀毒软件。还把svn备份文件顺利还原了，这颗悬着的心才稍微放下来点儿。

于是这才开始重新安装虚拟机。因为Windows Server 2016有了自带的Hyper-V，微软自家的东西，估计兼容性要比其他虚拟机软件强很多。我便不再尝试之前一直在用的VB和VM了。

第一次用Hyper-V，感觉还可以吧，除了需要配置一个虚拟网络才能让虚拟机联网外，其他概念并没有太大的区别。于是开始安装Ubuntu虚拟机，紧接着又装了ssh-server和Docker，并将原来的各种容器一一恢复。总算可以长舒一口气了！

今早想起另一台数据库服务器也还裸着，就来公司计划给数据库服务器也装一下小红伞。刚到公司，说看看昨天新装的应用服务器的运行状况吧，看了下，运行良好，只是CPU利用率维持在100%左右。职业习惯促使我看了下是哪个程序占用这么高，发现是昨天新装的Ubuntu虚拟机。还好，主机本身是没问题的。于是就开始给数据库服务器安装小红伞。

过了一会儿，我又登录进了应用服务器，发现CPU的利用率还维持在100%。这就奇怪了，这会儿就一个同事在用，而且只是请求一个简单的http，不应该导致虚拟机的CPU利用率飙到这么高呀。

于是我进到Ubuntu里看了下，发现有个名叫kdevtmpfsi的进程导致虚拟机的CPU利用率占满了。因为我对linux不是很熟悉，再加上这个账户是以root身份启动的，我怕是什么系统服务，就没太在意。

过了一会儿，我越想越觉得事有蹊跷，那就看看这个程序的路径吧，发现是在/tmp下，那就不是什么重要的程序了，于是果断将其终止。

然而不到两秒钟，它又来了！我试着再次将其终止后又对可执行程序进行了重命名，发现它又回来了！于是赶紧百度，发现我才装了不到12个小时的新虚拟机竟被当做挖矿机了！

真是命运多舛！我只好重新再来一遍了！

不行！身为一个没落的“红客”，我怎么能受这样的窝囊气哪？于是我赶紧将root的ssh登录权限给去掉了，并将工作用户的密码设为了复杂密码。这下/tmp目录下再也没有矿机了！CPU利用率也终于稳定在到1%左右了。

然而这还没结束，一个小时之后，当我无意中说再看下CPU的利用率吧，竟然又飙到100%了！这次居然是以当前登录的普通用户运行的挖矿程序，还是在/tmp下创建的同名程序。好吧，非得逼爷爷我动粗！

于是，我首先将矿机程序清除，然后创建了一个与矿机程序同名的文件夹，并将其读写及可执行权限全部从当前用户移除了。这里我用到了一个操作系统的一个小技巧——当创建一个文件时，如果有同名的文件夹存在，那么这个文件就无法创建成功。就这样，我成功的把矿机的下脚处给占了，矿机也就无处显形了。

在持续观察了五个多小时后，到目前为止挖矿机再也没启动，应该是没有问题了。

总结一下自己的惨痛“经历”，奉劝大家遵守如下最起码的安全规程：

第一、 机器的密码一定不能设置的太简单

第二、 一定要给机器安装靠谱的杀毒软件，推荐卡巴斯基、小红伞等百年软件

第三、 除非特殊情况下，否则一定不要使用超级管理员账户来工作或操作，最好将超级管理员账户禁用或改名

第四、 工作用户的权限一定要进行严格的限定，防止对系统关键文件产生破坏

最近病毒和木马肆虐，再加上中美贸易战的影响，很多机房都被美国黑客给攻击了。所以请大家做好防护。

希望自己上述的经历能给大家带来一点启发和帮助。