本帖最后由 1c3Cre4m 于 2017-12-1 02:06 编辑
问题现象:晚上接了一个网吧老板的电话,说网吧突然很多游戏一运行就闪退(比如英雄联盟绝地求生),看着网吧生意跑了一大半老板也很着急。我赶紧到网吧来排查问题,发现不是所有的游戏都会闪退,但是闪退的游戏不管是从菜单还是目录里都运行不了,运行.exe的游戏主进程没有任何反应。在检查服务器的时候,偶然点到了易乐游服务端的监控中心,发现里面有一大堆进程被拦截的消息(就是下图这个地方,具体情况没截图,大致就是游戏进程被当成危险进程拦截了)。
处理过程:
在安全中心看了下发现有很多的危险进程拦截和特征码拦截的设置(如下图)
取消这些设置后,重启客户机游戏就正常了。因为网吧是我维护的,很清楚这些不是我设置的,老板说他从来不进服务器的,感觉是被什么人恶意修改了安全中心的设置。为了安全起见我在易乐游服务端控制台设置了密码,顺便也修改了服务器的远程密码。在网吧歇了一会准备回去的时候,老板说新开的机器又出现游戏玩不了的问题。看了下服务器,发现安全中心又被添加了之前的那些危险进程和特征码,而且开关也被打开了。因为刚改过控制台和远程密码,感觉不太可能是人为的,但是针对性很强,所以怀疑是网吧被人放了恶意的程序,直接修改了安全中心的配置文件(ProcessManager.ini),看了下这个文件的日期也是最近修改过的。
还原关闭安全中心的设置后,挂着Procmon看能不能把幕后凶手找出来。过了大概二十分钟发现安全中心的设置又被改了,停止procmon的捕获。设置筛选条件为Path---contain--ProcessManager.ini,结果如下图
看来凶手就是这个名为Snight.exe进程,他在查询完ProcessManager.ini后,写入了一些东西进去,写入之后安全中心的设置就变了,也导致了网吧的这一系列问题。删除这个程序后,网吧也没有出现安全中心被修改的问题了。
建议:
网吧服务器做为网吧最重要的地方,建议大家平时养成定期修改远程密码和服务端控制台密码的好习惯,不要装一些从来没使用过的软件。
|