Become a DDOS attacker unluckily

下午客户反馈后台管理系统打不开,经排查发现服务器停机了,原因是防火墙发现我们的服务器对外发起了 DDOS 攻击。

重新启动服务器后,打开任务管理器发现了一大堆可疑进程:
Task list

其中的 hrlFFFF.tmp, hrl1C83.tmp, hrlAAC1.tmp, Bf.exe, svchobst.exe, WinHogb32.exe, bbyo.exe, jqs.exe, bytbac.exe, hrl11.tmp, 还有开机自启的两个 iexplorer.exe,都是十分可疑的进程。

大多数进程关闭后不会自动启动,唯有名为 hrlxxx.tmp 的进程,在关闭一段时间后会以一个新的名字自动重新启动。

于是,先运用 netsh 工具执行限制发包的系统安全策略,然后用杀毒软件杀毒:
Virus list 1
Virus list 2
Virus list 3

果然收获不少,重启后不再有可疑进程,持续监测几天没有再出现异常情况。

在出问题的前一段时间曾经发生过一次监测记录中 CPU 一段时间内占用率很高,随后网络中断的状况,但在服务器重启后除了登录较慢,其他都运行正常,持续了一段时间都没出现问题,所以也没再注意。

好在没费多大劲就解决了。