Сервера, зараженные вирусом начали использовать все ресурсы сервера, как следствие началась жуткая деградация производительности. Виртуальные сервера начали использовать все им выданные ресурсы на постоянной мощности и кажется что в гостевой ОС ресурсы не используются, но это не так!
Выявление причины
Мы долго копали в сторону физической проблемы, так как массовые атаки явление не очень частое. Физические сервера деградировали по производительности, при подключении по RDP не удавалось подключиться к серверу и появлялся черный экран, дальше ничего нельзя было поделать, иногда совпадение с поломкой винчестера вводили нас в заблуждение.
Сразу десяток виртуалок начали показывать полное использование ресурсов, мы подумали, что некоторые хосты в облаке дали сбой, мы перезагружали и выводили из облака хосты, но тесты ничего не давали-везде все ок. Пока на одном из виртуальных серверов клиентов мы не заметили странный процесс.
Решение
На каждом из виртуальных серверов в процессах был вирус. Вирус видимо использовал уязвимости Windows 2008 и Windows 7. Поэтому мы настоятельно рекомендуем устанавливать обновления. При открытии диспетчера задач вирус в то же мгновение переставал использовать ресурсы, поэтому в начале его было не легко выявить. Однако диспетчер задач через некоторое время(минут 10) сам закрывался и так постоянно.
Мы начали проводить изучение каждого процесса, подозрение вызвал csrss.exe *32 с описанием csrss. Открываем расположение файла и видим, что исходник создан в то же время, что и начало деградации серверов( по данным мониторинга). Такой процесс существует, однако этот был в папке Windows, а должен быть в директории Windows/system32 . Вирусы маскировались и под другие процессы, нужно изучать каждый.
Анализ показал, что не каждый вирус способен увидеть в нем что-то подозрительное, (подробнее). Такой вирус был на десятке совершенно разных серверах, как виртуальных, так и физических. Будьте предельно внимательны. Для выявления вируса можно использовать бесплатную утилиту (скачать). С ее помощью можно при скане обнаружить вирус такого рода.