本文作者:小羽

网吧服务器被入侵 添加未知开机启动项分析

小羽 5个月前 ( 04-16 ) 1092 抢沙发 百度已收录
网吧服务器被入侵 添加未知开机启动项分析摘要: 从1月开份开始,有很多网吧突然从某一天开始网吧客户机出现CPU占用高、游戏卡顿、LOL和steam等游戏出现挂载广告、首页被篡改等问题。通过各方一起排查后发现,出现这些问题的网吧都...

从1月开份开始,有很多网吧突然从某一天开始网吧客户机出现CPU占用高、游戏卡顿、LOL和steam等游戏出现挂载广告、首页被篡改等问题。通过各方一起排查后发现,出现这些问题的网吧都存在开机启动项被修改,或者是被添加了一个新的开机启动项,运行了一个放在游戏盘下的程序,然后通过此程序在客户机上释放和下载了很多文件在系统目录,应该是增值插件相关的文件(如下图)


目前发现运行此程序后增加的广告有以下3个:


1、首页被改成百度:https://www.baidu.com/index.php?tn=02049043_50_pg


 


2、英雄联盟挂载广告:开宝箱

 


通过有问题的网吧环境排查来看,是有人通过非法方式获取了网吧的远程方式,然后远程控制网吧服务器添加了上述开机启动项,建议网吧和网吧维护工作者都定期检查服务器信息,比如远程日志,开机启动项相关文件的修改信息,安装服务器系统补丁,定期修改网吧维护工具的密码(如网吧服务器系统密码,维护工具、网吧平台管理后台密码等),防止网吧被添加一些未知程序而导致出现各种异常问题。


经过测试在网吧管理平台服务端和路由上添加以下防护措施也可以有效预防上述问题:


特征码拦截


fe1d0ee5901dd167ee9b28eece31786c


03ead9487cb469928d457d3c370fcea6


f2e0019fb0973aca02f5018194c267af


2f1232c8c5551798186d32e1f4c47c47


949bd56dfd9393cc33924598fb80772a


d41d8cd98f00b204e9800998ecf8427e


03ead9487cb469928d457d3c370fcea6


0b8eddf7924b5d511f9243267997a8ef


e8d29a142e651036556cfed9e1c27354


路由器和网吧管理平台服务端上封


www.wbywxz.cn


wbywxz.cn:45678


网站和42.51.204.145


 


45678端口和60008端口



文章版权及转载声明:

作者:小羽本文地址:https://www.shykx.com/FAQ/329.html发布于 5个月前 ( 04-16 )
文章转载或复制请以超链接形式并注明出处爱分享吧|软件分享平台

分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,1092人围观)参与讨论

还没有评论,来说两句吧...