前幾天,一大早上班就被用戶單位在群里呼叫,說系統登不上去了。我自己試了一下,Web站點能夠訪問,想上服務器上看看日志上是不是有什么問題。誰知道服務器遠程桌面一直無法連接。只能找基礎設施同事幫忙查看。這一看簡直嚇一跳,內存已經被吃滿了。請同事幫忙重啟了一下,自己登上去看看什么問題。
先說下服務器相關配置:
OS : WinServer 2008 R2 SP1,不通外網,系統無更新補丁
CPU:2核
內存:8GB
網絡:內網網段IP地址(僅單位內部訪問)
打開任務管理器,查看內存消耗情況,沒什么異常。過了一段時間再登上來看看,發下一個叫lsass.exe的進程內存占用率悄悄的上來了。大概2、3十M,看上去沒什么,但在短時間內漲到這樣,就有些異常了。網上一搜,基本兩種方式:1.全盤殺毒 2.打補丁,裝更新
微軟官方很多地方都是說,這個lsass內存泄漏是由於安裝了安全更新 3067505 后導致的。但我這服務器系統更新是關閉的,也就是說並不是因為這個更新導致。但還是按照網上介紹,將這個安全補丁以及解決這個問題的另外一個補丁給打上了。觀察一段時間后,仍然未見好轉,只能隔兩天重啟一下系統。直到昨天,也是在網上隨意瀏覽關於服務器安全配置相關的文章,想起查看本機有哪些網絡連接。於是自己動手試試,這一試嚇得不輕。雖然不通外網,但卻發現大量外網IP地址通過445端口建立連接(當然可能並沒有真正通信)。查下這幾個IP地址,有些甚至是境外的。再看看后面對應的進程ID,趕緊轉至任務管理器,查找進程。該進程指向C:\Windows\mssecsvc.exe ,再去網上一番搜索該文件,簡直要嚇壞,“這是利用永恆之藍的敲詐病毒”--摘自網絡。這下沒辦法了,只能裝個殺毒軟件來一次全盤掃描了。
趁着午飯時間,裝一個360(雖然對殺毒軟件無感,但這次真得感謝人家),對服務器來一次全盤掃描,午飯回來掃的差不多了。處理了幾個可疑文件,重啟服務器,一切恢復正常了。另外,在防火牆上關閉135、138、139、445端口。目前已觀望兩日,lsass.exe內存占用也一直保持在5M左右,沒有更異常的現象了。
參考連接:
https://blog.51cto.com/11789213/2296108