本帖最后由 游戏小哥 于 2017-11-29 12:29 编辑
问题现象:管理端自动添加开机批处理
问题截图:
排查方法: 1、 与网吧老板确认没有人操作服务器,并且发现自动添加过程中没有远程操作痕迹 2、 确认删除开机启动项和开机启动文件,十五分钟左右自动再次添加 3、 查看创建时间发现文件被优先创建,然后修改BootStartBat.ini配置文件达到添加开机启动项的目的 4、 添加的批处理为乱码,破解后发现多数为系统优化类操作和一些不明操作 5、 再次删除开机批处理和文件,使用processmonitor工具监视系统文件活动, 6、 Msiexeo.exe创建开机启动项system文件夹,并且创建开机批处理并写入文件后关闭批处理,同时关闭自身进程, 7、 Winint.exe创建Msiexeo.exe 8、 检查确认该文件并非系统文件,系统的文件实际为wininit.exe,少了一个字母,在不熟悉的情况下很容易搞错,而这个winint.exe进程是由桌面进程创建,无法继续查看该进程是哪个程序创建。 9、在检查的时候发现Msiexeo.exe文件一直在扫描注册表、文件夹信息,在扫描完之后进行修改、创建和写入
PS:在处理的过程中老板说起,好几家网吧从X网换成易乐游之后都有这问题,仍然使用X网的网吧却是正常的,检查了另外有这个问题的网吧发现都是同样的问题、同样的系统、同样的文件,问起服务器系统来源告知是X网的2008 R2死性不改包,在同样存在该进程的X网环境下是正常的,ennm这就有点耐人寻味了,由于不确定该文件是系统自带还是后期植入,只好提供了易乐游的NZ2008 R2系统,搞了一家网吧服务器重做之后正常了!常了!了!唉,撒尿去了。
PS2:附送易乐游服务器系统 NewZ_企业版2008R2
http://www.583go.com/resource-view-235.html 2012R2标准版_N1
http://www.583go.com/resource-view-250.html
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
