技术分享 网吧远程软件密码被破解,导致被人恶意添加增值 [复制链接]

Elijah
三国LV9
技术中心 23250 0 2019-5-13 23:58:45
本帖最后由 Elijah 于 2019-5-14 00:01 编辑

问题现象:
客户机浏览器主页被劫持,游戏被植入广告挂载。

001.png 002.png 003.png

处理过程:
1、
当前情况第一反应就是更换纯环境进行测试看下,但是在取消启动项的时候发现了一个不知道是谁添加的开机启动项

006.png 004.png

2、这文件的说明文档还伪装成易乐游的官方文件,写的还挺详细,但是联系易乐游客服这边确定不是易乐游下发的;
3、将这个启动项停止掉之后,客户机重启,就恢复正常了,但是此时新的问题就来了,我们并不知道这个是谁通过什么方式进行添加的。
4、出现这个问题的网吧还有好几家,由于我又使用了radmin远程工具,就检查了一下radmin的连接记录;

008.png
看到该文件的创建时间是5月9日的0:51分,同时在radmin的日志中显示出
007.png
很明显就可以看出是被人通过radmin远程操作上来了,并且继续往前查看日志会看到在4月27和28号这天有人一直在尝试破解我这个服务器的远程密码
009.png
5、具体是怎么连接上的只能后面再慢慢查,但是建议广大维护,有使用远程工具管理网吧的一定要定期进行远程密码的更换!

您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29073 个
  • 话题数: 9637 篇
  • 巅峰数: 5500 人