Windows 云服务器使用过程中出现蓝屏,Windows 10 1903 包括这个之前的系统都有这个漏洞。

操作步骤

  1. 查看蓝屏代码:0x0000007e

    faq trouble bluescreen 1
    faq trouble bluescreen 2
  2. 查看系统事件查看器有频繁的登录审核日志,且系统错误日志附近可能会有 temdd 相关的日志。

    faq trouble bluescreen 3
  3. 查看 Windows 日志路径:C:\Windows\System32\winevt\Logs

    • 系统日志:System.evtx

    • 安全日志:Security.evtx

    • 应用程序日志: Application.evtx

    • 设置日志:Setup.evtx

    • 蓝屏信息简略文件:C:\Windows\Minidump\ 根据文件生成日期排序,准备最近生成的 1-2 个文件即可。

    • 蓝屏详细文件:C:\Windows\MEMORY.DMP 此文件通常很大且信息更丰富,深入分析时需要提供此文件(可暂不提供),操作系统每次蓝屏会用新的文件覆盖此文件,如果蓝屏次数频繁,建议重命名备份一次此文件,便于对比蓝屏原因。

  4. 查看辅助信息。

    系统版本:如 Windows Server 2008 R2。

    蓝屏是否频繁:如一个星期前出现过一次。

    系统运行时间以及最近做过什么修改或最近安装过什么软件:如 系统运行了 3 个月,最近一个月都没修改过或装过其他软件。

    将四种日志以及最近 1-2 个简略蓝屏文件打包,附带辅助信息提供出来。

  5. 进行解决

    针对最近出现较多的远程登录漏洞利用导致的蓝屏,用户可以先自行在 Windows 日志管理器查看安全日志,如果频繁出现非法登录日志,基本可以判断是远程登录漏洞导致的。

    综合以上现象,基本可以判定系统遭受了 CVE-2019-0708 漏洞攻击。

    修复方法:https://cert.360.cn/warning/detail?id=0f64023e053a5753816ac129b5362607

    补救措施:先按照文档里面打补丁,修复漏洞,另外,远程端口进行安全加固。

    补救措施无效,可以重置系统,重置之后,将系统更新打上补丁。并针对远程端口做加固。