技术分享 分享一例网吧被入侵的案例 [复制链接]

zhoubao
网站编辑
技术中心 26396 1 2017-6-6 20:18:29
网吧出现的问题:客户机偶尔随机蓝屏,或者卡一下
排查过程:
1、一开始以为是内网的问题,更换了所有交换机后还是一样。(路由器也换了个)
2、检查服务器,发现服务器的日志记录出现磁盘服务停止又运行的记录。
3、升级无盘软件的版本,问题一样,而且感觉对客户机的影响更大了。
4、从正常运行的网吧对换服务器过来,磁盘服务还是重启。

再说说磁盘服务重启的规律,没有固定的时间点,时间间隔也没有规律。磁盘服务重启前后一段时间,服务器系统没有任何异常,也没有任何报错。

到这里,小结一下,路由器、服务器、交换机,全部都换过了,就是无盘软件没换了,是不是就是无盘软件的问题呢?
于是找客服,客服联系研发,也没看出什么毛病。
绝望之下,就想着用死办法了,上PM抓信息了。在网吧蹲守的两个小时,磁盘服务重启了三次,第二次的时候,我开启了PM,于是终于找到凶手了。请看下面的分析。
先上图
2.png
这张图可以看到,磁盘服务的进程是被系统命令taskkill结束掉的,它的父进程ID是2476,就是CMD命令,那么我们看2476的父进程
3.png
2476的父进程竟然是影子的主进程,难道是影子发疯了杀无盘的磁盘服务?这么2的想法出现后,我整个人也变2了,幸好得搞人提醒:是不是被黑了?
于是马上看影子的日志,果然,一直都是同一个IP连上影子的telnet发送结束磁盘服务进程的命令,导致磁盘服务重启。
6.png
至此,问题已确认,只用更改远程的端口、用户名、密码等信息就OK了。
那么,大家对于这个问题怎么看呢?网吧为什么会被黑?为什么那个做不好的事情的人总是用同一个IP?为什么他会知道远程的端口密码等信息?



1.png
4.jpg
5.jpg
厉害了厉害了。
您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29041 个
  • 话题数: 9630 篇
  • 巅峰数: 5500 人