Вирус использует ресурсы ОС

Вирус использует ресурсы ОС

Сервера, зараженные вирусом начали использовать все ресурсы сервера, как следствие началась жуткая деградация производительности. Виртуальные сервера начали использовать все им выданные ресурсы на постоянной мощности и кажется что в гостевой ОС ресурсы не используются, но это не так!

Выявление причины

Мы долго копали в сторону физической проблемы, так как массовые атаки явление не очень частое. Физические сервера деградировали по производительности, при подключении по RDP не удавалось подключиться к серверу и появлялся черный экран, дальше ничего нельзя было поделать, иногда совпадение с поломкой винчестера вводили нас в заблуждение.

Сразу десяток виртуалок начали показывать полное использование ресурсов, мы подумали, что некоторые хосты в облаке дали сбой, мы перезагружали и выводили из облака хосты, но тесты ничего не давали-везде все ок. Пока на одном из виртуальных серверов клиентов мы не заметили странный процесс.

Решение

На каждом из виртуальных серверов в процессах был вирус. Вирус видимо использовал уязвимости Windows 2008 и Windows 7. Поэтому мы настоятельно рекомендуем устанавливать обновления. При открытии диспетчера задач вирус в то же мгновение переставал использовать ресурсы, поэтому в начале его было не легко выявить. Однако диспетчер задач через некоторое время(минут 10) сам закрывался и так постоянно.

Мы начали проводить изучение каждого процесса, подозрение вызвал csrss.exe *32 с описанием csrss. Открываем расположение файла и видим, что исходник создан в то же время, что и начало деградации серверов( по данным мониторинга). Такой процесс существует, однако этот был в папке Windows, а должен быть в директории Windows/system32 . Вирусы маскировались и под другие процессы, нужно изучать каждый.

Анализ показал, что не каждый вирус способен увидеть в нем что-то подозрительное, (подробнее). Такой вирус был на десятке совершенно разных серверах, как виртуальных, так и физических. Будьте предельно внимательны. Для выявления вируса можно использовать бесплатную утилиту (скачать). С ее помощью можно при скане обнаружить вирус такого рода.

   20.06.2018
Автор статьи:
Мясников Роман Игоревич ©
ЕЩЕ ПО ТЕМЕ

Для настройки редиректа с http на https в Nginx нужно прописать соответствующее правило в файле конфигурации сервера. После редактирования файлов конфигурации, чтобы изменения вступили в силу, сервер каждый раз нужно перезагружать или перезапускать.

18.08.2023 18:17:17

Nginx - это популярный веб-сервер и прокси-сервер, который используется для обслуживания многих веб-сайтов в Интернете. Перезапуск Nginx может быть необходим, чтобы применить изменения в конфигурации, исправить ошибки, или обновить версию Nginx.

18.08.2023 17:55:09

Nginx входит в число самых востребованных сервисов, который известен хорошей производительностью при существенных нагрузках. Все больше и больше сайтов поддерживают протокол HTTPS, а ведущие браузерные разработчики, включая Google и Mozilla, активно поощряют владельцев сайтов, использующих данный защищенный протокол.

Сейчас переход на него — несложная задача, поскольку все топовые серверы включают поддержку SSL, а выпустить сертификат можно даже бесплатно. В данной статье рассмотрим процесс настройки SSL в Nginx с использованием сертификата Let's Encrypt.

03.08.2023 18:02:00

DNS-записи являются одним из самых важных элементов инфраструктуры Интернета. Без них пользователи не смогут получить доступ к веб-ресурсам, почте и другим сервисам. DNS-записи используются для преобразования доменных имен в IP-адреса и наоборот. В этой статье мы рассмотрим основные типы DNS-записей, способы их проверки и настройки в Linux.

31.07.2023 17:11:00

FTP (File Transfer Protocol) - это протокол передачи файлов, который используется для обмена файлами между компьютерами в сети. FTP является одним из наиболее распространенных протоколов передачи файлов в Интернете и используется для загрузки и скачивания файлов с сервера. FTP был разработан в 1971 году и с тех пор был значительно усовершенствован и расширен.

27.07.2023 17:07:00