云服务器被利用lsass.exe、tcpsvcs.exe消耗带宽的解决办法

有些机器可能被黑客利用lsass.exe、tcpsvcs.exe消耗带宽

通过资源监视器 → 网络活动 → 看到都是lsass.exe，且pid相同，通过过滤相同的pid 508发现端口是xxx，在安全组或防火墙禁用xxx端口后带宽消耗就正常了。不排除lsass.exe是伪装的病毒木马，遇到了建议安装杀毒防护软件全盘杀毒。

simptcp(Simple TCP/IP Services)，正常的windows系统是没有simptcp这个东西的，很可能是伪装的

如果发现带宽消耗主要是aaa.bbb.ccc.ddd.bc.googleusercontent.com + tcpsvcs.exe导致，有几个方案

①参考https://cloud.tencent.com/developer/article/2013701，用第三方流量控制工具限制

aaa.bbb.ccc.ddd.bc.googleusercontent.com这种地址的真实IP是倒着的ddd.ccc.bbb.aaa

aaa.bbb.ccc.ddd.bc.googleusercontent.com是谷歌云的地址

dig -x 35.198.251.13 +short

dig -x 34.143.182.154 +short

dig -x 34.80.125.180 +short

dig -x 34.80.137.188 +short

[root@VM-0-11-centos ~]# dig -x 35.198.251.13 +short

13.251.198.35.bc.googleusercontent.com.

[root@VM-0-11-centos ~]# dig -x 34.143.182.154 +short

154.182.143.34.bc.googleusercontent.com.

[root@VM-0-11-centos ~]# dig -x 34.80.125.180 +short

180.125.80.34.bc.googleusercontent.com.

[root@VM-0-11-centos ~]# dig -x 34.80.137.188 +short

188.137.80.34.bc.googleusercontent.com.

②停止、删除simptcp服务，删除tcpsvcs.exe

sc.exe stop simptcp

sc.exe delete simptcp

del C:\\Windows\\System32\\tcpsvcs.exe

③参考https://help.aliyun.com/document_detail/40698.html 用微软免费安全工具Microsoft Safety Scanner，在安全模式下进行扫描杀毒

④参考https://superuser.com/questions/892437/what-do-you-do-if-you-are-being-hacked-by-something-coming-from-a-supposedly-leg

通过https://support.google.com/code/contact/cloud_platform_report?hl=en 举报

⑤安装杀毒软件全盘杀毒

升级系统、更新补丁、使用第三方防护软件可能有风险，建议先做POC测试，没问题再搞，Windows系统本身的问题跟云平台无关

实际生产中，大公司往往就是先验证，验证没问题再上生产，如果客户是直接开搞，开搞之前一定要先做完整备份，以备不时之需，比如开搞后发现不兼容或报错等其他情况，到时候还可以通过备份回滚到开搞前的状态，没有备份就尴尬了

再者，低版本系统健壮性差，相同当量的攻击，低版本系统(≤2012R2)不如高版本(≥server2016)抗揍，被攻击时卡顿情况比高版本明显甚至被打挂，当然，攻击到一定烈度时，高版本系统也可能被打挂

另外，高版本系统在稳定性或者健壮性、整体性能尤其是网络性能好的优势情况下，确实在资源开销方面比低版本系统会多一些，为了业务考虑，建议客户综合评估来选择适合自己的系统

整体上来说，Windows系统由于便利性、受众广泛性，是网络攻击和黑客入侵的重灾区，养成良好的使用习惯尤其备份数据的习惯是非常重要的，最好是能安装杀毒防护软件，并配合加强安全组设置，比如只放行需要外网访问的端口，像数据库端口一般只需服务器本机能访问就行，不需要外网放行安全组入站（视业务具体情况而定），对远程端口，建议修改默认远程端口号，在安全组放行新端口号时只放行客户端IP或IP段，范围不要放得太大。

安全防护软件较多，比如微软自己的电脑管家（适用≥server2019，我个人试用了，感觉不咋地呀，毕竟微软出品，也许未来会好用），第三方的安全软件我更推荐360和火绒。

https://pcmanager.microsoft.com/

https://www.huorong.cn/person5.html

360也不错，但需要注意的是360可能存在内存泄漏问题

https://cloud.tencent.com/developer/article/1948812

关于安全防护软件，首先需阐明，主机安全（云镜）跟杀毒防护软件有区别，主要是识别和告警，并不像杀毒防护软件那样具有实时对抗性。主机安全（云镜）专业版是收费的，可报告的安全风险条目多，不像免费版同一个账号只报5条告警就不再报了（是账号级别累计5条，不是单台机器维护）。

温馨提示，安全软件会有明显的资源开销，如果是最低配的机器，安装杀毒防护软件可能会导致系统卡顿，但如果不安装，安全中招的风险还是挺大，建议客户综合考虑选择适合自己的系统和软硬件配置。

有网络就有安全风险，不区分是否有外网（比如虽然机器本身没有公网，但跳板机/堡垒机有公网，如果它们被入侵，那通过跳板机/堡垒机访问的机器就有风险），建议windows机器安装杀毒防护软件；不同杀毒软件的防护能力、查杀效率和查杀彻底度不尽相同，建议多种杀毒软件对比下，独一种可能不太可靠；杀毒软件及其病毒库没更新的话，不管啥杀软都不靠谱，建议更新到最新使用。

一般来说，更新到最新对比个人版的几款免费杀毒防护软件

全盘杀毒速度：360安全卫士＞360杀毒＞火绒

杀毒彻底度：360杀毒＞360安全卫士＞火绒

国外的杀毒防护软件，很少有对Server系统免费的，我用过的就赛门铁克还行，参考https://cloud.tencent.com/developer/article/1838316

⑥分析访问者IP分布，按ip或网段加以限制

举个例子：

dig -x 34.80.126.137 +short //dig -x ddd.ccc.bbb.aaa +short (真实的IP是倒着来)

# dig -x 34.80.126.137 +short

137.126.80.34.bc.googleusercontent.com.（下图中第一个红框圈出的按个地址，对应的IP是倒着的，即34.80.126.137）

上图中第二个红框圈出的地址里有几个属于同一网段

208.0.230.171

208.0.230.102

208.0.230.52

208.0.230.77

在安全组里出、入站规则都禁止208.0.230.0/24