radmin远程被爆破导致被投放增值问题
问题现象:1、技术反馈自己的电脑配置还行,但是玩游戏起来就是非常的不流畅,自己也重新做了系统,最终没有解决。2、通过网维大师客户端进程查看,有两个可疑进程占用cpu比较高。(PPT工程师在这里提醒下,异常占用CPU消耗网吧资源,属于不正常现象)排查过程:1、已知客户端开机后cpu占用两个程序异常,并且该程序目录位置非常规程序目录。 2、挖矿程序会屏蔽常用的技术工具包括ProcessMonitor、ProcessExplorer等工具,只要一打开就现场就会消失,这一看就知道是阿姆斯特丹的某家增值公司出品佳作。3、配合其他排查工具,可以清晰的看到行为轨迹,通过cmd反查查到是服务器上被投放了exe导致的。4、经过技术鉴定该程序与年前发生的多起服务器被入侵的问题一致,断定为radmin入侵导致。问题原因:1、服务器被入侵,然后植入了增值程序。并且是通过系统包的开机脚本启动的。说明这个人对网吧行业系统包特点非常熟悉解决方法:1、删除服务器游戏盘根目录“开机脚本”目录。2、卸载radmin远程软件,更换其他的。
页:
[1]