首先要说的是本帖来自wglm的thinking,我是帖子搬运工,有必要转过来是因为这个事件对各位做网吧的哥们很重要,是一起恶性的网吧安全事件,直接威胁到网吧各种游戏账号的安全问题!!!安全无小事,大家都看看吧,有问题跟帖说说你的想法,下面是完整的复制过来的内容:
今天一起床就遇到两位朋友在群里讨论自己的网吧被入侵。发出特征后,另一朋友检查自己系统发现也被入侵,如果近期网吧出现以下问题的朋友最好检查下自己的服务器是否被入侵。如果您网吧服务器也有被入侵,建议按下面提到的方法检查,同时检查相应的文件。
这里再提醒一下大家,使用常规远程软件一定要注意以下四点安全
1,更新好系统补丁。
2,更新远程软件最新版。
3,慎重使用**版的远程,有一个远程已经被群里朋友证实连接不了不明的第三方IP。
4,远程使用复杂的用户名和密码。
如果您继续使用radmin,3380等,我们强列建议你做好上面我们说的“四点安全”。
同时我们推荐使用深蓝云维护远程 :http://slyun.com (支持电脑和QQ,不需要映射端口),我们的远程平时不开启,只有在你使用时开启,随机密码和端口,端口无需映射不暴露在公网上。云维护远程登录支持QQ和邮箱认证绑定,安全性有保证。同时我们的远程在云端和您本地都会有详尽的记录,什么时间,什么IP进行了远程,有问题不管是误操作还是非法操作,均有记录好查证,有利于快速的解决问题。
下面我们看下今天两位朋友同时被入侵的情况,和我们一起分析的总结。(因为一些敏感信息如IP可能是跳板,所以先打码,有朋友已经报警处理会提供详细的文件)第一位朋友,反应自己网吧昨天被入侵,他已经提到对方的IP和入侵的办法:
152655rr1snqhnsx7qxz2x.jpg (140.1 KB, 下载次数: )
2018-9-28 10:38 上传
首先这位朋友反应,入侵者是通过radmin入侵,并上传了文件,程序记录了日志,发现了入侵者的IP(也可能是跳板)
161244f6pkd1tbktzfkkih.jpg (219 KB, 下载次数: )
2018-9-28 10:38 上传
152811modv9ykdjrtstekz.png (22.09 KB, 下载次数: )
2018-9-28 10:38 上传
然后重新打开将文网客户端打包成一个自解压,将病毒加进去。和曾经有人打包dbnt放入病毒一样(通过RAR自解压伪装):看这里:http://slsup.com/post/318.html[安全]近期大规模3389入侵网吧服务器篡改文件、盗号、QQ加好友病毒木马分析
152812lmpm99aab6mamxqq.png (10.71 KB, 下载次数: )
2018-9-28 10:38 上传
第二个朋友检查自己的系统,也遇到同样的问题,这位朋友是领航重新被打包。
152937glj4jyu8yn67i8mn.jpg (129 KB, 下载次数: )
2018-9-28 10:38 上传
第三位朋友被入侵的朋友STEAM帐号被盗,在顺网无盘开机启动项中添加批处理,然后通过BAT,VBS下载病毒文件执行。
172649dqebouzlbdb2lqbl.jpg (95.03 KB, 下载次数: )
2018-9-28 10:38 上传
145826qebghl4oczj4weog.jpg (288.26 KB, 下载次数: )
2018-9-28 10:38 上传
173037uxi07rz2e707utvz.jpg (114.31 KB, 下载次数: 3)
2018-9-28 10:38 上传
第四位朋友反应半夜反应只要开启DBNT就出现一大堆无关进程的解决,
因为这篇和过程较长,我们另起一篇子,这篇入侵案便有更好的分析和教育意义,推荐观看:刚发生有位朋友反应启动DBNT客户端就出现一大堆非法进程解决过程
2018/09/04 更新
第五位被入侵的朋友确认是通过radmin入侵,并在steam目录植入dll文件实现盗号:
112456g0lloftjlijooou7.jpg (131.98 KB, 下载次数: 4)
2018-9-28 10:38 上传
目前我们在群里发现的多起网吧服务器入侵事件,有以下明显的特征:
1 基本上都是 3389,radmin等长期映射端口的远程软件的被攻破(其中两位朋友是通过radmin被入侵。),当然,这并不代表这些软件本身不安全(哪安全漏洞,弱密码等)。但一定要做好开头我说的那几点。windows系统自身漏洞也很有可能,一定打全安全补丁。
2,开包把程序放到你的镜像启动项中。
3,放到有开机启动项的维护软件中如:DBNT,领航,无盘软件,三层更新等软件的开机启动项中。
4,直接替换你别的程序,如把你网吧文化软件,营销软件重新打包做成自解压,把病毒加进去。(此时该文件的包会明显增大。)
5,入侵增加的是个增值的EXE,该EXE图标一般都是下面图中这个样子。
153401nxkx089uu505ek5u.png (3.33 KB, 下载次数: 1)
2018-9-28 10:38 上传
如果有以上情况,请及时检查自己的远程软件日志,和密码。是否被他人命名用,检查windows系统用户名,是否被新建了不明帐号。检查是否被安装了其它远程。
如果您的服务器入侵,并在DBNT中被放入非法的文件,可以联系我们在线客服或者深蓝帮您排查。
如果您的服务器被入侵,在其它的文化,三层游戏更新软件中放入非法文件,请联系相应的官方软件排查。
如果您的服务器有使用DBNT,也有入侵痕迹,可以联系我们客服,帮您免费装一套我们原创的基于DBNT的服务器被黑监视系统,可以监视什么时间,什么文件被动过,方便查找问题所在。(如果您自己有能力找到入侵的源头就完全不需要这个入侵检测,也给我们客服省点时间,谢谢。只有当您自己找不到入侵源头,总是服务器莫名其妙多一些文件才找我们客服帮您安装。因为少装一点程序,总是多一点可用资源。)
总结,这次事件是通过网吧服务器的远程协助软件实现的!这个是非常恶性的人为的操作事件。可以确定的说这个是犯罪行为!做网维的兄弟姐妹要注意了,看看自己手上的网吧是否也有这种潜在的威胁,如果有,请更换相应的远程控制工具吧!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
