EasySupport | 易速23.05.27日网吧突然打电话说电竞区71-86机器不管玩什么游戏,23:30左右同时卡了一下,其他区一切正常,赶忙赶到现场,询问电竞区顾客,确实有这种情况,然后转了一圈其他区域,询问了顾客,一切正常。
这里就很奇怪,交换机有问题的话,51号-86号机器是在同一个交换机下的,不应该只有电竞区卡,唯一的区别电竞区是i7-13700F,而其他机器都是i5-13400F,但主板都是B760M D2HX SI DDR4,在服务器中的网卡PNP都是一批,所以排除了交换机、服务器、网卡PNP优化等问题。只在电竞区找问题。
咨询了一位顾客,他说卡的时候,联盟ms延迟非常高,他十分确定是网络问题,这时正好对面顾客说卡了,玩的永劫无间,赶忙过去看到右上角ping值跑到了114,此时我也基本确定是网络问题,让顾客换了一台其他区域的机器,也是玩永劫无间,过了半小时后问他是否还有问题,回答没有。奇怪了为什么只有电竞区呢?
开了一台电竞区的机器,ping路由网关,丢包严重。如下图:
此时又在其他区域开了一台机器,ping路由网关没有任何问题,用PingInfoView工具ping了700个包,只有三个延迟,都在10以下,为了确定此现象,又开了其他区域的一台其他机器,同样没问题。此时已经凌晨1:30了,这时候网络稳定了一会,没有丢包,我怀疑有顾客走了,导致某台电脑关机后ping正常,虽然很没道理,还是决定试一下。于是把71-86的机器全部打开,再ping,还是正常。
这就有意思了,进服务器,看服务器系统日志,有一则错误,正是发生在晚上11点左右,如下图:
此图是我十一点多接到网管电话,在路上排查问题的时候用手机临时截图的,至于为何没有详细错误日志信息,后面会有交代。这个错误大致意思是说dwm.exe(微软桌面管理进程)出现了错误,错误模块路径C:\Windows\System32\KERNEL32.DLL,查看了一下,这些都是正常的系统文件,网上搜索了一下这个错误无果。
感觉像是系统中毒了,下了火绒杀毒扫了一遍果然有一个tracerpt.exe的病毒,详细信息描述为:“日志跟踪导出工具”
放到哈勃上扫了一遍,也告知有病毒,如下图:
果断杀过毒之后logoff注销一下系统,刚登录之后火绒又来了一个提示,如下图:
此病毒直接从病毒作者租用的腾讯云服务器下发,地址http://124.223.105.161:8903/files/data/xm/zlib.txt,大致原理是每次系统重新启动或者注销,系统都会重新加载dwm.exe(微软桌面管理进程),只要这个进程被激活了,就会重新下发一个随机名字的.txt文档,这个文档1.13M大小,打开乱码,明显是一个exe执行文件,把后缀改为exe后,得到一个程序,这个程序最骚的来了,竟然他妈的有微软的签名。
之前就听说过微软签名的病毒,也是火绒发现的
到这里基本断定是服务器系统中毒导致的部分机器卡死,其实服务器mstsc进去之后感觉也不对劲儿,内网进的,先tm黑屏2秒钟才出桌面,操作起来也有些卡顿。
写这篇日志的时候,要截图11:30左右的那个系统错误日志的详细信息,神奇的事情来了,火绒杀毒过后,这个日志神奇的消失了。真的是找不到,也没有日志被清除的事件,是真的骚操作。
把tracerpt.exe跑了一下火绒剑,也基本看不出来干了什么,不停的创建文件。
第二天早上先把服务器做了再说,就算不是这个的问题也是一个大隐患。
评论前必须登录!
注册