技术分享 被入侵的网吧服务器都经历了神马? [复制链接]

曹操
网站编辑
技术中心 30506 0 2021-1-22 17:58:33
被发现.png
网吧服务器被入侵后臭虫首先想要做什么?

大部分第一件事情会想要隐匿行踪,因为只有不被你发现才能存活更久,活的久才能换更多钱。
当怎么活下去成了头号大事,他们的隐匿手段可谓千变万化。
重做系统.png
网吧就会出现,我明明重做了系统,为什么还是出现了盗号。
因为他们不只是会挂包改映像文件,不只是会感染系统。他们还会利用各类网吧各里的各类功能。只有当我们了解了他们隐匿的手段,这些臭虫才会命不久矣。

案例A
小红帽网吧出现盗号。
小白去追踪了2天,好无头绪。
客户机系统换了,服务器系统换了,盗号一样出现。
最终发现是游戏盘里YY资源目录下,有文件被感染,只要当用户启动一次YY,盗号木马就开始工作了。。
如果用户没有启动YY,就不会盗号。
当然,YY只是躺枪了。重点是臭虫远程入侵服务器后,修改了游戏盘的YY文件。删除被感染文件后,网吧终于恢复了正常。
尽量少在无盘服务器上安装其他软件。服务器远程也需要修改默认端口号,强密码,异地远程最好要用带手机短信验证的远程,比如易乐维。

排查思路:可以了解下反馈盗号的玩家行为,比如他做了哪些操作,启动了哪些资源。你可以重点用查查这些资源是否带毒了。
                  或者你自己有经验,这个网吧用户一般会运行哪些资源,你在客户机都手动执行一次 看看是否有病毒出现。
                 为什么这么做,是因为当前网吧动辄2TB的游戏资源,想要全盘查杀几乎不可能,需要一天才能查杀完毕游戏盘,而且还会造成网吧卡顿。当然, 如果是SSD游戏盘就没这个困扰。   所以我们巡检重点资源,这个网吧喜欢用的资源优选查。
                  找到之后清理掉,解决当前问题。


案例B小红花网吧出现盗号,挖kuang。
重做了1次系统没用。
最终发现是网吧服务器被入侵后,篡改了易乐游动态客户端。
挂载删除清理掉被感染的文件,修复更新一次即可。如何操作可以参考他们帮助中心的这个教程:http://help.stnts.com/html/202101/4053.html


案例C
小红酒网吧出现盗号,死机。
重做了2次系统没用。
最终发现是网吧服务器被入侵后,在开机启动项,添加了一个不知名的增值程序。
检查开机启动项,有时候开机启动项里会做的比较隐含,一个正常的P处理下面带一个异常的。异常的命令甚至要向下拉动很多空格才能看到,

案例D
小红猫网吧出现死机,盗号
重做了1次系统有效。
因为小红帽网吧服务器被入侵后,臭虫修改了无盘映像文件,植入了盗号程序。
但是重做系统后就安静了半个月,问题又出现了?
为什么?

因为赶出臭虫后还需要考虑如何守门。
守门做好3个方面就能解决99%的入侵
1 无盘服务器少安装来历不明的软件 。

2 使用异地登陆带手机验证的远程,比如易乐维。

3 无盘服务器windows系统安全。这个太复杂了,我就谈先网吧里方便执行的。
    A账户安全
     *把管理员adminstrator用户改名,比如修改成xiaohong,并设置强密码。
    *停用guest等其他windows账号,添加一个取名为adminstrator 普通账户,设置你自己都不会记得的超级复杂密码,并勾选停用。
    *关闭文件共享,以太网网络属性里删除文件打印与共享协议。
   B 远程桌面。
     如果一样要用3389远程,请修改默认端口号。  还是尽量避免映射外网远程桌面功能。

我跟你说.png






您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29064 个
  • 话题数: 9634 篇
  • 巅峰数: 5500 人