Windows 云服务器蓝屏
Windows 云服务器使用过程中出现蓝屏,Windows 10 1903 包括这个之前的系统都有这个漏洞。
操作步骤
-
查看蓝屏代码:0x0000007e
-
查看系统事件查看器有频繁的登录审核日志,且系统错误日志附近可能会有 temdd 相关的日志。
-
查看 Windows 日志路径:C:\Windows\System32\winevt\Logs
-
系统日志:System.evtx
-
安全日志:Security.evtx
-
应用程序日志: Application.evtx
-
设置日志:Setup.evtx
-
蓝屏信息简略文件:C:\Windows\Minidump\ 根据文件生成日期排序,准备最近生成的 1-2 个文件即可。
-
蓝屏详细文件:C:\Windows\MEMORY.DMP 此文件通常很大且信息更丰富,深入分析时需要提供此文件(可暂不提供),操作系统每次蓝屏会用新的文件覆盖此文件,如果蓝屏次数频繁,建议重命名备份一次此文件,便于对比蓝屏原因。
-
-
查看辅助信息。
系统版本:如 Windows Server 2008 R2。
蓝屏是否频繁:如一个星期前出现过一次。
系统运行时间以及最近做过什么修改或最近安装过什么软件:如 系统运行了 3 个月,最近一个月都没修改过或装过其他软件。
将四种日志以及最近 1-2 个简略蓝屏文件打包,附带辅助信息提供出来。
-
进行解决
针对最近出现较多的远程登录漏洞利用导致的蓝屏,用户可以先自行在 Windows 日志管理器查看安全日志,如果频繁出现非法登录日志,基本可以判断是远程登录漏洞导致的。
综合以上现象,基本可以判定系统遭受了 CVE-2019-0708 漏洞攻击。
修复方法:https://cert.360.cn/warning/detail?id=0f64023e053a5753816ac129b5362607
补救措施:先按照文档里面打补丁,修复漏洞,另外,远程端口进行安全加固。
补救措施无效,可以重置系统,重置之后,将系统更新打上补丁。并针对远程端口做加固。