开机蓝屏实为服务器被入侵,客户机被加远控盗号程序
今天有用户反馈过来说突然出现蓝屏,经过排查之后发现客户机被添加开机启动项导致这个文件在数月前也曾出现在网吧,也是一样的手法。今天发现之后我们将其进行剖析,请其他网友可以将对应IP添加拦截名单里面
以下IP为软件直接连接IP:
103.90.172.214,120.24.48.197,202.124.250.84,202.124.250.91,222.208.171.42,www.swsfnt.com,103.181.135.53
以下IP疑似为跳板,可以进行屏蔽:
104.18.20.226,113.219.132.68,123.161.58.64,124.236.110.232,101.91.28.123,150.138.173.114,150.138.234.117,172.67.185.52,220.181.38.149,222.75.63.240,36.99.86.241,42.81.120.9,58.215.114.244
,61.147.219.124
该进程操作路劲
C:\Users\Default\Fonts\*.exe(多个exe进程)该进程会被本程序删除
C:\Windows\AgUrTeOa\AgUrTeOa.exe(进程和目录同名)该进程会被本程序删除
C:\Windows\system32\*\lsass.exe该进程会保留
进程注入远程进程(需重启服务器)
使用HTTP POST方法发送数据
POST http://exhoe.xueerbuyan.cn/api/r/mcm
禁用代理可能用于流量劫持
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Proxy Enable
总结:如果你的网吧突然出现随机蓝屏问题,请检查客户机开机启动项是否有该进程,发现之后删除掉,及时删除C:\Windows\system32\*\lsass.exe 程序并重启服务器,更改你的远程方式并在路由进行拦截IP操作
页:
[1]