网管联盟论坛 - 共享互助,专助进取

 找回密码
 立即注册

QQ登录

只需一步,快速开始

深蓝云维护 三层集中管理 手机远程深蓝软件微信公众号深蓝防逃费V6(多收费共存/全自动处理)
查看: 1057|回复: 8

[DBNT教程] 刚发生有位朋友反应启动DBNT(深蓝维护通道)客户端就出现一大堆非法进程解决过程

[复制链接]

3249

主题

3万

帖子

4万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

发表于 2018-9-3 13:40:57 | 显示全部楼层 |阅读模式
本帖最后由 蓝蓝 于 2018-10-18 19:28 编辑

     2018.09.02 23点左右,累了一天,我正准备睡觉,突然接到一位用户朋友的紧急求助,说可能DBNT被注入或者是其它什么原因,导致只要一开启DBNT客户端,就出现一大堆非法的进程。 解决过程一波三折,这位网维朋友也比较聪明,最终彻底找出原因所在,还意外的发现了一些东西,于是分享给大家。应该朋友的要求,他的名字要打码。
     同时提醒大家最近有大规模针对网吧服务器的入侵事件,其它三个被入侵的朋友的症状表现请看这里:【安全预警】一天4起针对网吧服务器入侵杆入病毒,其中有吃鸡盗号

现在开始
QQ截图20180903130856.jpg

但我的第一直觉并不像,因为如果人家注入,是为了隐藏自身,那现在再出一大堆其它进程,又占用大量资源,不是立即 就暴露了吗?

QQ截图20180903131302.jpg

考虑到今天有三个朋友的网吧服务器被入侵,我的第一直觉是这位朋友也被入侵了。


QQ截图20180903131406.jpg



但用户坚称自己服务器不可能被入侵,并且称不运行DBNT就没事。那我们就进一步进行深挖。这位朋友还说“昨天都没有”,这里就是大经常的一个误区,以为昨天没事,代表今天没事,以为自己网吧没事,代表隔壁网吧没事,这是不对的,不容易找到真相。

QQ截图20180903131803.jpg

首先我检查了服务器,第一个发现的是领航的文件有问题,虽然 我没有用领航,太最近听说过太多领航的启动文件被人修改植入病毒,这个文件正常应该500KB左右,但这里是近3MB,一看就是被修改过。但用户仍然坚称没有问题,说是去年就在用,这里就陷入了第二个和第三个误区。“已经用了一年的东西并不会出问题”以及“根据这个文件的时间判断他存在多久”

QQ截图20180903132150.jpg



可以看得出,用户也是一个老网维用户,对于解决问题还是很有经验,但一时情急,忽略了很多东西。
但有一个东西就是不能忽略的就是启动了DBNT就出现了多个进程运行。

QQ图片20180903132251.png



经过排查我们发现用户朋友在DBNT服务端加载了三个第三方进程,一个一个排查后,发现是 LHClient_Setup.exe 文件只要加载就出现多个不明进程,去掉解决问题。

那么 只要启动DBNT就出现多个进程的原因 找到了,是因为通过DBNT加载了这个 LHClient_Setup.exe  ,这个 LHClient_Setup.exe  是领航的客户端,这个上面我们提到,正常的文件500KB左右,为什么这里近3MB呢?是因为被人重新打包了。
那为什么时间上是一年前的呢?很简单,这个时间也被入侵者修改了,后面还有详细的证据。

本来到这里,问题算是找到,我就去睡觉了,并对这位用户朋友进行了精神上的抚慰。
同时用户朋友自己也悟到了为什么没有领航的网吧也有问题,实际上,这里还是一个误区,你看人在紧张的时候总是容易进入误区。但这个误区的明白要等到第二天我才知道。
QQ截图20180903132901.jpg




第二天一起床,我又收到这位朋友发来的很多消息。原来他又中招了。半夜0:22用户发现有些网吧又开始出现了。还把他整昏了。

QQ截图20180903133119.jpg


用户又现多余的进程,原来用户还在DBNT的开机执行程序目录 autoexe 中放了一个文件.大家重点注意这个文件,一个360浏览器的图标,一个超长空格文件名,最近大半年网吧服务器被入的侵的用户,无论是放在DBNT开机启动目录,还是直接开包放在镜像包里,还是放在无盘开机通道中,都是这个文件。

QQ图片20180903133232.png

QQ截图20180903133227.jpg


以为到这里就完了吗?还没有。
最终用户又检查到除了领航还有 dbntcli.exe 也被更改了,本身400多KB的DBNTcli.exe被加入病毒,大小变成了 2.9M和那个植放病毒的领航文件一样大。注意重点大了,你发现没,两个大小完全不一样的文件,修改居然一模一样,这说明了什么?
这说明这个入侵者在更改了文件后,为了进一步迷惑管理员,还修改了被更改文件的修改时间。太坏了。这里还要注意他用的是编程那种资源打包或者是去掉了自解压的特征,已经无法右键直接解压出文件了。

QQ截图20180903133458.jpg
QQ截图20180903133519.jpg



到这里就差不多了,这位朋友最终分析出入侵者是通过radmin入侵的,有日志等能查证。

QQ截图20180903133745.jpg


好了,这个教程就到这里,使用dbnt软件有任何问题,欢迎联系我们BBS,在线客服,或者联系深蓝帮您解决。
也同时提醒大家注意,最近入侵网吧很多,手段也在翻新,迷惑性更强,事后排查正变得更加困难。

如果您的服务器有使用DBNT,也有入侵痕迹,可以联系我们客服,帮您免费装一套我们原创的基于DBNT的服务器被黑监视系统,可以监视什么时间,什么文件被动过,方便查找问题所在。(如果您自己有能力找到入侵的源头就完全不需要这个入侵检测,也给我们客服省点时间,谢谢。只有当您自己找不到入侵源头,总是服务器莫名其妙多一些文件才找我们客服帮您安装。因为少装一点程序,总是多一点可用资源。)


其它三个被入侵的朋友的症状表现请看这里:【安全预警】一天4起针对网吧服务器入侵杆入病毒,其中有吃鸡盗号
    感谢阅读,最后祝您使用愉快,我们一直在坚持做出实用的,能帮助到您集中管理,智能维护的软件,同时也能帮助到我们自己网吧维护的工具。

      有BUG或者新功能建议,或者软件使用中遇到任何问题,都欢迎联系我们在线客服:https://slyun.com/con 我们一定及时给您满意的解决。(其实也是尽快的解决我们自己网吧中遇到的问题。)

       DBNT开发团队 敬上。


深蓝 Thinking软件专题站 www.sLsup.com  —— 接受软件定制与深蓝(Thinking)原创软件的OEM,VIP定制。

大道致简,学以致用。 欲收获,先付出。
回复

使用道具 举报

306

主题

1490

帖子

1588

积分

深蓝软件商业用户

Rank: 16Rank: 16Rank: 16Rank: 16

VIP 深蓝TCP维护通道

发表于 2018-9-3 13:54:37 | 显示全部楼层
好急
回复 支持 反对

使用道具 举报

0

主题

1

帖子

1

积分

DBNT技术支持

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

发表于 2018-9-3 13:56:17 | 显示全部楼层
防不胜防
回复 支持 反对

使用道具 举报

6

主题

50

帖子

53

积分

马马虎虎(03级)

Rank: 3Rank: 3

发表于 2018-9-3 14:43:03 | 显示全部楼层
还没有到9.8号今天才是9月3号 哈哈。。

点评

时间修正下,08.02 昨晚。  详情 回复 发表于 2018-9-3 16:24
回复 支持 反对

使用道具 举报

3249

主题

3万

帖子

4万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

 楼主| 发表于 2018-9-3 16:24:31 | 显示全部楼层
shykx 发表于 2018-9-3 14:43
还没有到9.8号今天才是9月3号 哈哈。。

时间修正下,08.02 昨晚。

点评

搞个 文件 MD5 验证,点一下就知道,什么文件和原文件不一样  详情 回复 发表于 2018-9-3 18:40
深蓝 Thinking软件专题站 www.sLsup.com  —— 接受软件定制与深蓝(Thinking)原创软件的OEM,VIP定制。

大道致简,学以致用。 欲收获,先付出。
回复 支持 反对

使用道具 举报

991

主题

1万

帖子

1万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

发表于 2018-9-3 18:40:46 | 显示全部楼层
本帖最后由 the886 于 2018-9-3 18:44 编辑
thinking 发表于 2018-9-3 16:24
时间修正下,08.02 昨晚。

搞个 文件 MD5 验证,点一下就知道,什么文件和原文件不一样
或DBNT客户机日志 上次开超级后,这次开机有更新了什么文件

点评

是的。但是他不一定是修改指定目录的,可能就要全盘扫描了。全盘扫描,游戏文件又经常变动。  详情 回复 发表于 2018-9-4 10:30
不要问是内裤,还是外裤,内外都是酷!
回复 支持 反对

使用道具 举报

3249

主题

3万

帖子

4万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

 楼主| 发表于 2018-9-4 10:30:09 | 显示全部楼层
the886 发表于 2018-9-3 18:40
搞个 文件 MD5 验证,点一下就知道,什么文件和原文件不一样
或DBNT客户机日志 上次开超级后,这次开机 ...

是的。但是他不一定是修改指定目录的,可能就要全盘扫描了。全盘扫描,游戏文件又经常变动。
深蓝 Thinking软件专题站 www.sLsup.com  —— 接受软件定制与深蓝(Thinking)原创软件的OEM,VIP定制。

大道致简,学以致用。 欲收获,先付出。
回复 支持 反对

使用道具 举报

148

主题

766

帖子

823

积分

炉火纯青(06级)

Rank: 6Rank: 6

发表于 2018-9-4 18:10:17 | 显示全部楼层
谁来抓一下这些入侵的人?

点评

那要看这GA有没有好处,比如新闻报道,事态严重,他们才出动,你就报一个110,没B用的  详情 回复 发表于 2018-9-4 21:10
回复 支持 反对

使用道具 举报

991

主题

1万

帖子

1万

积分

超级版主

Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21Rank: 21

终身成就奖

发表于 2018-9-4 21:10:56 | 显示全部楼层
Trans 发表于 2018-9-4 18:10
谁来抓一下这些入侵的人?

那要看这GA有没有好处,比如新闻报道,事态严重,他们才出动,你就报一个110,没B用的
不要问是内裤,还是外裤,内外都是酷!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联盟首页|软件下载|联系我们|手机版|小黑屋|纯文字版|网管联盟 ( 粤ICP备17103197号-2 )

GMT+8, 2018-10-23 20:21 , Processed in 0.200861 second(s), 30 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表