网管联盟论坛 - 共享互助,专助进取

 找回密码
 立即注册

QQ登录

只需一步,快速开始

深蓝云维护 三层集中管理 手机远程深蓝软件微信公众号深蓝防逃费V6(多收费共存/全自动处理)
查看: 2019|回复: 8

【安全预警】一天4起针对网吧服务器入侵植入病毒,其中有吃鸡盗号,0904更新第5家被入侵

[复制链接]

3249

主题

3万

帖子

4万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

发表于 2018-9-3 13:45:05 | 显示全部楼层 |阅读模式
    今天一起床就遇到两位朋友在群里讨论自己的网吧被入侵。发出特征后,另一朋友检查自己系统发现也被入侵,如果近期网吧出现以下问题的朋友最好检查下自己的服务器是否被入侵。如果您网吧服务器也有被入侵,建议按下面提到的方法检查,同时检查相应的文件。
这里再提醒一下大家,使用常规远程软件一定要注意以下四点安全
1,更新好系统补丁。
2,更新远程软件最新版。
3,慎重使用破解版的远程,有一个远程已经被群里朋友证实连接不了不明的第三方IP。
4,远程使用复杂的用户名和密码。


      如果您继续使用radmin,3380等,我们强列建议你做好上面我们说的“四点安全”。

      同时我们推荐使用深蓝云维护远程 :http://slyun.com (支持电脑和QQ,不需要映射端口),我们的远程平时不开启,只有在你使用时开启,随机密码和端口,端口无需映射不暴露在公网上。云维护远程登录支持QQ和邮箱认证绑定,安全性有保证。同时我们的远程在云端和您本地都会有详尽的记录,什么时间,什么IP进行了远程,有问题不管是误操作还是非法操作,均有记录好查证,有利于快速的解决问题。


     下面我们看下今天两位朋友同时被入侵的情况,和我们一起分析的总结。(因为一些敏感信息如IP可能是跳板,所以先打码,有朋友已经报警处理会提供详细的文件)第一位朋友,反应自己网吧昨天被入侵,他已经提到对方的IP和入侵的办法:
QQ截图20180902142233.jpg

首先这位朋友反应,入侵者是通过radmin入侵,并上传了文件,程序记录了日志,发现了入侵者的IP(也可能是跳板)
001.jpg


QQ图片20180902152756.png


然后重新打开将文网客户端打包成一个自解压,将病毒加进去。和曾经有人打包dbnt放入病毒一样(通过RAR自解压伪装):看这里:http://slsup.com/post/318.html[安全]近期大规模3389入侵网吧服务器篡改文件、盗号、QQ加好友病毒木马分析

QQ图片20180902152746.png



第二个朋友检查自己的系统,也遇到同样的问题,这位朋友是领航重新被打包。
QQ截图20180902152927.jpg


第三位朋友被入侵的朋友STEAM帐号被盗,在顺网无盘开机启动项中添加批处理,然后通过BAT,VBS下载病毒文件执行。
QQ截图20180902172614.jpg


172649lewwp3wpcp4eggpw.jpg


QQ截图20180902173025.jpg


第四位朋友反应半夜反应只要开启DBNT就出现一大堆无关进程的解决,
因为这篇和过程较长,我们另起一篇子,这篇入侵案便有更好的分析和教育意义,推荐观看:刚发生有位朋友反应启动DBNT客户端就出现一大堆非法进程解决过程
2018/09/04 更新
第五位被入侵的朋友确认是通过radmin入侵,并在steam目录植入dll文件实现盗号:
QQ截图20180904112346.jpg


植入盗号DLL的易语言源码:
QQ截图20180928230014.jpg


目前我们在群里发现的多起网吧服务器入侵事件,有以下明显的特征:

1 基本上都是 3389,radmin等长期映射端口的远程软件的被攻破(其中两位朋友是通过radmin被入侵。),当然,这并不代表这些软件本身不安全(哪安全漏洞,弱密码等)。但一定要做好开头我说的那几点。windows系统自身漏洞也很有可能,一定打全安全补丁。
2,开包把程序放到你的镜像启动项中。
3,放到有开机启动项的维护软件中如:DBNT,领航,无盘软件,三层更新等软件的开机启动项中。
4,直接替换你别的程序,如把你网吧文化软件,营销软件重新打包做成自解压,把病毒加进去。(此时该文件的包会明显增大。)
5,入侵增加的是个增值的EXE,该EXE图标一般都是下面图中这个样子。
QQ图片20180902153153.png



如果有以上情况,请及时检查自己的远程软件日志,和密码。是否被他人命名用,检查windows系统用户名,是否被新建了不明帐号。检查是否被安装了其它远程。

如果您的服务器入侵,并在DBNT中被放入非法的文件,可以联系我们在线客服或者深蓝帮您排查。
如果您的服务器被入侵,在其它的文化,三层游戏更新软件中放入非法文件,请联系相应的官方软件排查。
如果您的服务器有使用DBNT,也有入侵痕迹,可以联系我们客服,帮您免费装一套我们原创的基于DBNT的服务器被黑监视系统,可以监视什么时间,什么文件被动过,方便查找问题所在。(如果您自己有能力找到入侵的源头就完全不需要这个入侵检测,也给我们客服省点时间,谢谢。只有当您自己找不到入侵源头,总是服务器莫名其妙多一些文件才找我们客服帮您安装。因为少装一点程序,总是多一点可用资源。)






深蓝 Thinking软件专题站 www.sLsup.com  —— 接受软件定制与深蓝(Thinking)原创软件的OEM,VIP定制。

大道致简,学以致用。 欲收获,先付出。
回复

使用道具 举报

306

主题

1497

帖子

1595

积分

深蓝软件商业用户

Rank: 16Rank: 16Rank: 16Rank: 16

VIP 深蓝TCP维护通道

发表于 2018-9-3 13:54:25 | 显示全部楼层
这是个黑客黑队干的,在网吧行业至少干了3年以上了,我这里入侵过一家就发现了是通过radmin
回复 支持 反对

使用道具 举报

35

主题

159

帖子

165

积分

深蓝软件商业用户

Rank: 16Rank: 16Rank: 16Rank: 16

VIP 深蓝TCP维护通道

发表于 2018-9-3 13:55:07 | 显示全部楼层
可以报警抓人吗?

点评

肯定可以,算是大案了  详情 回复 发表于 2018-9-3 18:34
回复 支持 反对

使用道具 举报

93

主题

389

帖子

410

积分

青出于蓝(04级)

Rank: 4

发表于 2018-9-3 13:57:40 | 显示全部楼层
横行这么久的入侵为什么还不抓住
回复 支持 反对

使用道具 举报

0

主题

4

帖子

6

积分

新手上路(01级)

Rank: 1

发表于 2018-9-3 14:33:19 | 显示全部楼层
必须关注一下
回复 支持 反对

使用道具 举报

6

主题

50

帖子

53

积分

马马虎虎(03级)

Rank: 3Rank: 3

发表于 2018-9-3 14:42:30 | 显示全部楼层
怎么疯狂。。。。。。
回复 支持 反对

使用道具 举报

991

主题

1万

帖子

1万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

发表于 2018-9-3 18:34:58 | 显示全部楼层
cat99 发表于 2018-9-3 13:55
可以报警抓人吗?

肯定可以,算是大案了
不要问是内裤,还是外裤,内外都是酷!
回复 支持 反对

使用道具 举报

148

主题

766

帖子

823

积分

炉火纯青(06级)

Rank: 6Rank: 6

发表于 2018-9-4 18:09:43 | 显示全部楼层
我网吧也被入侵了去哪报警?
回复 支持 反对

使用道具 举报

1

主题

17

帖子

17

积分

新手上路(01级)

Rank: 1

发表于 2018-10-25 00:51:22 | 显示全部楼层
收到啊!!!!!!!!!!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联盟首页|软件下载|联系我们|手机版|小黑屋|纯文字版|网管联盟 ( 粤ICP备17103197号-2 )

GMT+8, 2018-12-14 06:10 , Processed in 0.744249 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表