今天有网吧反馈说客户机多了一个进程,是什么“系统防护”进程,问是什么情况。 远程查看后,确实发现了一个进程,如下图。 直接打开位置之后,发现居然在易游目录下。 可以肯定的是,我不是我自己放进去的, ...
今天有网吧反馈说客户机多了一个进程,是什么“系统防护”进程,问是什么情况。 远程查看后,确实发现了一个进程,如下图。 直接打开位置之后,发现居然在易游目录下。 可以肯定的是,我不是我自己放进去的,看起来也不像是易游的东西,询问易游之后,确认这不是他们的,这个目录原本正常的程序是为了收集系统崩溃时候的dump文件的。 于是挂包查看对应目录,发现的是这样的。 没有正常的文件,直接挂包重打一下客户端升级补丁,再重启客户机,发现居然还是有。再次询问易游那边之后,说可能是动态客户端带下去的,于是直接删除《易乐游客户端》这个资源,再重启客户机,这次没有了,别人入侵服务器居然还放到了易游的动态客户端里面去了。 我继续排查了一下,发现除了上面的易游目录之外,在系统镜像包另一个目录居然还有,是设置的隐藏。 目前也查不到到底是谁放进去的,只是希望同行看到帖子能够警惕一下,随时修改一下自己服务器密码,远程密码,远程端口。以免被别有用心的人做出意料之外的事情,好在这次并没有对这个网吧造成什么影响,只是多了一个进程,觉得奇怪,就排查了看看。 |