решение нестандартных проблем и не только

Блог нашего Дата-центра

делимся информацией и опытом в решении нерядовых задач

Вирус использует ресурсы ОС

Вирус использует ресурсы ОС

Сервера, зараженные вирусом начали использовать все ресурсы сервера, как следствие началась жуткая деградация производительности. Виртуальные сервера начали использовать все им выданные ресурсы на постоянной мощности и кажется что в гостевой ОС ресурсы не используются, но это не так!

Выявление причины

Мы долго копали в сторону физической проблемы, так как массовые атаки явление не очень частое. Физические сервера деградировали по производительности, при подключении по RDP не удавалось подключиться к серверу и появлялся черный экран, дальше ничего нельзя было поделать, иногда совпадение с поломкой винчестера вводили нас в заблуждение.

Сразу десяток виртуалок начали показывать полное использование ресурсов, мы подумали, что некоторые хосты в облаке дали сбой, мы перезагружали и выводили из облака хосты, но тесты ничего не давали-везде все ок. Пока на одном из виртуальных серверов клиентов мы не заметили странный процесс.

Решение

На каждом из виртуальных серверов в процессах был вирус. Вирус видимо использовал уязвимости Windows 2008 и Windows 7. Поэтому мы настоятельно рекомендуем устанавливать обновления. При открытии диспетчера задач вирус в то же мгновение переставал использовать ресурсы, поэтому в начале его было не легко выявить. Однако диспетчер задач через некоторое время(минут 10) сам закрывался и так постоянно.

Мы начали проводить изучение каждого процесса, подозрение вызвал csrss.exe *32 с описанием csrss. Открываем расположение файла и видим, что исходник создан в то же время, что и начало деградации серверов( по данным мониторинга). Такой процесс существует, однако этот был в папке Windows, а должен быть в директории Windows/system32 . Вирусы маскировались и под другие процессы, нужно изучать каждый.

Анализ показал, что не каждый вирус способен увидеть в нем что-то подозрительное, (подробнее). Такой вирус был на десятке совершенно разных серверах, как виртуальных, так и физических. Будьте предельно внимательны. Для выявления вируса можно использовать бесплатную утилиту (скачать). С ее помощью можно при скане обнаружить вирус такого рода.

   20.06.2018 |
Рейтинг:
(0)
Автор статьи:
Мясников Роман Игоревич ©