有些机器可能被黑客利用lsass.exe、tcpsvcs.exe消耗带宽
通过资源监视器 → 网络活动 → 看到都是lsass.exe,且pid相同,通过过滤相同的pid 508发现端口是xxx,在安全组或防火墙禁用xxx端口后带宽消耗就正常了。不排除lsass.exe是伪装的病毒木马,遇到了建议安装杀毒防护软件全盘杀毒。
simptcp(Simple TCP/IP Services),正常的windows系统是没有simptcp这个东西的,很可能是伪装的
如果发现带宽消耗主要是aaa.bbb.ccc.ddd.bc.googleusercontent.com tcpsvcs.exe导致,有几个方案
①参考https://cloud.tencent.com/developer/article/2013701,用第三方流量控制工具限制
aaa.bbb.ccc.ddd.bc.googleusercontent.com这种地址的真实IP是倒着的ddd.ccc.bbb.aaa
aaa.bbb.ccc.ddd.bc.googleusercontent.com是谷歌云的地址
dig -x 35.198.251.13 short
dig -x 34.143.182.154 short
dig -x 34.80.125.180 short
dig -x 34.80.137.188 short
[root@VM-0-11-centos ~]# dig -x 35.198.251.13 short
13.251.198.35.bc.googleusercontent.com.
[root@VM-0-11-centos ~]# dig -x 34.143.182.154 short
154.182.143.34.bc.googleusercontent.com.
[root@VM-0-11-centos ~]# dig -x 34.80.125.180 short
180.125.80.34.bc.googleusercontent.com.
[root@VM-0-11-centos ~]# dig -x 34.80.137.188 short
188.137.80.34.bc.googleusercontent.com.
②停止、删除simptcp服务,删除tcpsvcs.exe
sc.exe stop simptcp
sc.exe delete simptcp
del C:WindowsSystem32tcpsvcs.exe
③用免费安全工具,在安全模式下进行扫描杀毒
④参考https://superuser.com/questions/892437/what-do-you-do-if-you-are-being-hacked-by-something-coming-from-a-supposedly-leg
通过https://support.google.com/code/contact/cloud_platform_report?hl=en 举报
⑤安装杀毒软件全盘杀毒
升级系统、更新补丁、使用第三方防护软件可能有风险,建议先做POC测试,没问题再搞,Windows系统本身的问题跟云平台无关
实际生产中,大公司往往就是先验证,验证没问题再上生产,如果客户是直接开搞,开搞之前一定要先做完整备份,以备不时之需,比如开搞后发现不兼容或报错等其他情况,到时候还可以通过备份回滚到开搞前的状态,没有备份就尴尬了
再者,低版本系统健壮性差,相同当量的攻击,低版本系统(≤2012R2)不如高版本(≥server2016)抗揍,被攻击时卡顿情况比高版本明显甚至被打挂,当然,攻击到一定烈度时,高版本系统也可能被打挂
另外,高版本系统在稳定性或者健壮性、整体性能尤其是网络性能好的优势情况下,确实在资源开销方面比低版本系统会多一些,为了业务考虑,建议客户综合评估来选择适合自己的系统
整体上来说,Windows系统由于便利性、受众广泛性,是网络攻击和黑客入侵的重灾区,养成良好的使用习惯尤其备份数据的习惯是非常重要的,最好是能安装杀毒防护软件,并配合加强安全组设置,比如只放行需要外网访问的端口,像数据库端口一般只需服务器本机能访问就行,不需要外网放行安全组入站(视业务具体情况而定),对远程端口,建议修改默认远程端口号,在安全组放行新端口号时只放行客户端IP或IP段,范围不要放得太大。
安全防护软件较多,比如微软自己的电脑管家(适用≥server2019,我个人试用了,感觉不咋地呀,毕竟微软出品,也许未来会好用),第三方的安全软件我更推荐360和火绒。
https://pcmanager.microsoft.com/
https://www.huorong.cn/person5.html
360也不错,但需要注意的是360可能存在内存泄漏问题
https://cloud.tencent.com/developer/article/1948812
关于安全防护软件,首先需阐明,主机安全(云镜)跟杀毒防护软件有区别,主要是识别和告警,并不像杀毒防护软件那样具有实时对抗性。主机安全(云镜)专业版是收费的,可报告的安全风险条目多,不像免费版同一个账号只报5条告警就不再报了(是账号级别累计5条,不是单台机器维护)。
温馨提示,安全软件会有明显的资源开销,如果是最低配的机器,安装杀毒防护软件可能会导致系统卡顿,但如果不安装,安全中招的风险还是挺大,建议客户综合考虑选择适合自己的系统和软硬件配置。
有网络就有安全风险,不区分是否有外网(比如虽然机器本身没有公网,但跳板机/堡垒机有公网,如果它们被入侵,那通过跳板机/堡垒机访问的机器就有风险),建议windows机器安装杀毒防护软件;不同杀毒软件的防护能力、查杀效率和查杀彻底度不尽相同,建议多种杀毒软件对比下,独一种可能不太可靠;杀毒软件及其病毒库没更新的话,不管啥杀软都不靠谱,建议更新到最新使用。
一般来说,更新到最新对比个人版的几款免费杀毒防护软件
全盘杀毒速度:360安全卫士>360杀毒>火绒
杀毒彻底度:360杀毒>360安全卫士>火绒
国外的杀毒防护软件,很少有对Server系统免费的,我用过的就赛门铁克还行,参考https://cloud.tencent.com/developer/article/1838316
⑥分析访问者IP分布,按ip或网段加以限制
举个例子:
代码语言:javascript复制dig -x 34.80.126.137 short //dig -x ddd.ccc.bbb.aaa short (真实的IP是倒着来)# dig -x 34.80.126.137 short
137.126.80.34.bc.googleusercontent.com.(下图中第一个红框圈出的按个地址,对应的IP是倒着的,即34.80.126.137)
上图中第二个红框圈出的地址里有几个属于同一网段
208.0.230.171
208.0.230.102
208.0.230.52
208.0.230.77
在安全组里出、入站规则都禁止208.0.230.0/24
