某sqlserver数据库虚拟机内存泄露排查记录
现象
客户某虚拟机内存使用率极高,在系统里面查看最可以达96%资源管理器里面总额加起来仅10G左右,能看到分页缓冲池很搞,找不到具体进程
(一)查找内存占用
使用poolmon执行poolmon -a,查看内存页面情况,发现名为FMfn的驱动模块提交了近110G的内存占用,此时怀疑可能存在内存泄漏的情况。
(二)查找内存标记为FMfn的驱动模块
执行findstr.exe /sm1 "FMfn" C:\Windows\System32\drivers\*.sys,查找到C:\Windows\System32\drivers\fltMgr.sys的驱动文件。
(三)定位所属驱动作用
通过搜索了解筛选器管理器 (FltMgr.sys) 是系统提供的内核模式驱动程序,用于实现和公开文件系统筛选器驱动程序中通常所需的功能。驱动为系统提供的minifilter框架驱动,那就可能是系统各种的minifilter调用框架api,产生了内存分配,却没有释放导致。
(四)查找服务
使用fltmc命令查看系统中存在哪些minifilter调用,通过对比正常的服务器发现系统服务多了“LSI_SAS2l”与“iaLPSS1z”比较明显,通过搜索后发现一则帖子激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件,表现是会出现首页锁定。
查看IE浏览器,谷歌浏览器发现首页均被锁定,符合相关病毒特征。
(五)结果复现
通过查找相应的软件目录发现D盘heu存在一个激活工具的提示
继续定位在D盘ht目录发现名为HEU_KMS_Activator.rar的压缩包,但是存在压缩密码。
通过咨询应用方获得解压密码,获得安装包,在虚拟机上复现病毒释放后锁定主页操作
(六)处置建议
建议一:建议立即对虚拟机执行快照后,对相应病毒程序执行处理,重启后观察内存使用情况,如无异常再进行快照清理。
建议二:建议业主方尽快部署终端安全工具,预防此类事件的发生。
建议三:建议应用方立即停止对应激活工具的使用,并进行激活工具使用的自查工作及时处理相应的恶性事件。
(六)结束
小记,通过本次排查又学到了新工具的使用,感谢某信服工程师给的排查文件详细的记录的大致排查过程,其中包含了上述大部分流程,本积极的配合我找到原因,后面处理后目前无异常。具体经测试该病毒好像释放的驱动名字每次都不一样,搜了很久名字没有搜索到相关信息,通过服务名字搜到了这个名为麻辣香锅的病毒,好在该病毒尚未造成严重影响并有相应的处置方式。还是只怪人太菜,菜就是原罪。
参考链接
1:记录一起Windows内存泄露故障排查 - 書劍飄零 - 博客园
2:桌面云虚拟机内存泄露排查 - 桌面云aDesk - 深信服社区
3:警惕最近流行的「麻辣香锅」病毒,它会劫持你的浏览器主页! - 知乎
1. 作者:七十载
2. 链接:https://colorwifi.com/3096.html
3. 转载请指向当前链接,或指向本博客首页。
4. 如博客展示的内容侵犯了您的合法权益,请留言或发送邮件,我将予以删除。