|
从1月开份开始,有很多网吧突然从某一天开始网吧客户机出现CPU占用高、游戏卡顿、LOL和steam等游戏出现挂载广告、首页被篡改等问题。通过各方一起排查后发现,出现这些问题的网吧都存在开机启动项被修改,或者是被添加了一个新的开机启动项,运行了一个放在游戏盘下的程序,然后通过此程序在客户机上释放和下载了很多文件在系统目录,应该是增值插件相关的文件(如下图) 
    
目前发现运行此程序后增加的广告有以下3个:
1、首页被改成百度:https://www.baidu.com/index.php?tn=02049043_50_pg
2、英雄联盟挂载广告:开宝箱 
3、steam挂载广告:极迅加速器 
通过有问题的网吧环境排查来看,是有人通过非法方式获取了网吧的远程方式,然后远程控制网吧服务器添加了上述开机启动项,建议网吧和网吧维护工作者都定期检查服务器信息,比如远程日志,开机启动项相关文件的修改信息,安装服务器系统补丁,定期修改网吧维护工具的密码(如网吧服务器系统密码,维护工具、网吧平台管理后台密码等),防止网吧被添加一些未知程序而导致出现各种异常问题。 经过测试在网吧管理平台服务端和路由上添加以下防护措施也可以有效预防上述问题: 特征码拦截 fe1d0ee5901dd167ee9b28eece31786c 03ead9487cb469928d457d3c370fcea6 f2e0019fb0973aca02f5018194c267af 2f1232c8c5551798186d32e1f4c47c47 949bd56dfd9393cc33924598fb80772a d41d8cd98f00b204e9800998ecf8427e 03ead9487cb469928d457d3c370fcea6 0b8eddf7924b5d511f9243267997a8ef e8d29a142e651036556cfed9e1c27354 路由器和网吧管理平台服务端上封 www.wbywxz.cn wbywxz.cn:45678 网站和42.51.204.145
45678端口和60008端口 |
