绿茶吧 绿色纯净 爱上下载,网站全新改版 定期更新各种软件和技术文章 敬请关注 点击 有问题请加联系QQ。请在Chrome、Firefox、IE11等现代浏览器浏览本站!

网吧服务器被入侵 添加未知开机启动项分析

技术分享 admin

网吧服务器被入侵 添加未知开机启动项分析

从1月开份开始,有很多网吧突然从某一天开始网吧客户机出现CPU占用高、游戏卡顿、LOL和steam等游戏出现挂载广告、首页被篡改等问题。通过各方一起排查后发现,出现这些问题的网吧都存在开机启动项被修改,或者是被添加了一个新的开机启动项,运行了一个放在游戏盘下的程序,然后通过此程序在客户机上释放和下载了很多文件在系统目录,应该是增值插件相关的文件(如下图)‘



目前发现运行此程序后增加的广告有以下3个:

1、首页被改成百度:https://www.baidu.com/index.php?tn=02049043_50_pg

 

2、英雄联盟挂载广告:开宝箱
 

通过有问题的网吧环境排查来看,是有人通过非法方式获取了网吧的远程方式,然后远程控制网吧服务器添加了上述开机启动项,建议网吧和网吧维护工作者都定期检查服务器信息,比如远程日志,开机启动项相关文件的修改信息,安装服务器系统补丁,定期修改网吧维护工具的密码(如网吧服务器系统密码,维护工具、网吧平台管理后台密码等),防止网吧被添加一些未知程序而导致出现各种异常问题。

经过测试在网吧管理平台服务端和路由上添加以下防护措施也可以有效预防上述问题:

特征码拦截

fe1d0ee5901dd167ee9b28eece31786c

03ead9487cb469928d457d3c370fcea6

f2e0019fb0973aca02f5018194c267af

2f1232c8c5551798186d32e1f4c47c47

949bd56dfd9393cc33924598fb80772a

d41d8cd98f00b204e9800998ecf8427e

03ead9487cb469928d457d3c370fcea6

0b8eddf7924b5d511f9243267997a8ef

e8d29a142e651036556cfed9e1c27354

路由器和网吧管理平台服务端上封

www.wbywxz.cn

wbywxz.cn:45678

网站和42.51.204.145

 

45678端口和60008端口


 


喜欢 (4) or 分享 (0)

您的回复是我们的动力!

  • 昵称 (必填)
  • 验证码 点击我更换图片