收藏本站论坛帮助移动版论坛(500下载币) 微信公众号

天下网吧论坛

 找回密码
 注册账号

QQ登录

只需一步,快速开始

用微信登录

扫一扫,用微信登录

斗雷柏网咖键盘鼠标
查看: 5055|回复: 6
收起左侧

[系统] 多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!

  [复制链接]
发表于 2018-9-28 10:40:50 | 显示全部楼层 |阅读模式
天下网吧手机APP,你有我有全都有

终于等到您!马上注册登录,做有身份的人!

您需要 登录 才可以下载或查看,没有帐号?注册账号   扫一扫,用微信登录

x

首先要说的是本帖来自wglm的thinking,我是帖子搬运工,有必要转过来是因为这个事件对各位做网吧的哥们很重要,是一起恶性的网吧安全事件,直接威胁到网吧各种游戏账号的安全问题!!!安全无小事,大家都看看吧,有问题跟帖说说你的想法,下面是完整的复制过来的内容:

今天一起床就遇到两位朋友在群里讨论自己的网吧被入侵。发出特征后,另一朋友检查自己系统发现也被入侵,如果近期网吧出现以下问题的朋友最好检查下自己的服务器是否被入侵。如果您网吧服务器也有被入侵,建议按下面提到的方法检查,同时检查相应的文件。

这里再提醒一下大家,使用常规远程软件一定要注意以下四点安全

1,更新好系统补丁

2,更新远程软件最新版。

3,慎重使用**版的远程,有一个远程已经被群里朋友证实连接不了不明的第三方IP。

4,远程使用复杂的用户名和密码。


      如果您继续使用radmin,3380等,我们强列建议你做好上面我们说的“四点安全”。

      同时我们推荐使用深蓝云维护远程 :http://slyun.com (支持电脑和QQ,不需要映射端口),我们的远程平时不开启,只有在你使用时开启,随机密码和端口,端口无需映射不暴露在公网上。云维护远程登录支持QQ和邮箱认证绑定,安全性有保证。同时我们的远程在云端和您本地都会有详尽的记录,什么时间,什么IP进行了远程,有问题不管是误操作还是非法操作,均有记录好查证,有利于快速的解决问题。

     下面我们看下今天两位朋友同时被入侵的情况,和我们一起分析的总结。(因为一些敏感信息如IP可能是跳板,所以先打码,有朋友已经报警处理会提供详细的文件)第一位朋友,反应自己网吧昨天被入侵,他已经提到对方的IP和入侵的办法:
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
首先这位朋友反应,入侵者是通过radmin入侵,并上传了文件,程序记录了日志,发现了入侵者的IP(也可能是跳板)
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

然后重新打开将文网客户端打包成一个自解压,将病毒加进去。和曾经有人打包dbnt放入病毒一样(通过RAR自解压伪装):看这里:http://slsup.com/post/318.html[安全]近期大规模3389入侵网吧服务器篡改文件、盗号、QQ加好友病毒木马分析
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

第二个朋友检查自己的系统,也遇到同样的问题,这位朋友是领航重新被打包。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

第三位朋友被入侵的朋友STEAM帐号被盗,在顺网无盘开机启动项中添加批处理,然后通过BAT,VBS下载病毒文件执行。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

第四位朋友反应半夜反应只要开启DBNT就出现一大堆无关进程的解决,
因为这篇和过程较长,我们另起一篇子,这篇入侵案便有更好的分析和教育意义,推荐观看:刚发生有位朋友反应启动DBNT客户端就出现一大堆非法进程解决过程

2018/09/04 更新

第五位被入侵的朋友确认是通过radmin入侵,并在steam目录植入dll文件实现盗号:
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

目前我们在群里发现的多起网吧服务器入侵事件,有以下明显的特征:

1 基本上都是 3389,radmin等长期映射端口的远程软件的被攻破(其中两位朋友是通过radmin被入侵。),当然,这并不代表这些软件本身不安全(哪安全漏洞,弱密码等)。但一定要做好开头我说的那几点。windows系统自身漏洞也很有可能,一定打全安全补丁。

2,开包把程序放到你的镜像启动项中。

3,放到有开机启动项的维护软件中如:DBNT,领航,无盘软件,三层更新等软件的开机启动项中。

4,直接替换你别的程序,如把你网吧文化软件,营销软件重新打包做成自解压,把病毒加进去。(此时该文件的包会明显增大。)

5,入侵增加的是个增值的EXE,该EXE图标一般都是下面图中这个样子。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

如果有以上情况,请及时检查自己的远程软件日志,和密码。是否被他人命名用,检查windows系统用户名,是否被新建了不明帐号。检查是否被安装了其它远程。

如果您的服务器入侵,并在DBNT中被放入非法的文件,可以联系我们在线客服或者深蓝帮您排查。

如果您的服务器被入侵,在其它的文化,三层游戏更新软件中放入非法文件,请联系相应的官方软件排查。

如果您的服务器有使用DBNT,也有入侵痕迹,可以联系我们客服,帮您免费装一套我们原创的基于DBNT的服务器被黑监视系统,可以监视什么时间,什么文件被动过,方便查找问题所在。(如果您自己有能力找到入侵的源头就完全不需要这个入侵检测,也给我们客服省点时间,谢谢。只有当您自己找不到入侵源头,总是服务器莫名其妙多一些文件才找我们客服帮您安装。因为少装一点程序,总是多一点可用资源。)




总结,这次事件是通过网吧服务器的远程协助软件实现的!这个是非常恶性的人为的操作事件。可以确定的说这个是犯罪行为!做网维的兄弟姐妹要注意了,看看自己手上的网吧是否也有这种潜在的威胁,如果有,请更换相应的远程控制工具吧!

相关帖子

公告 本站启用全站实名发帖人工先审后发机制,发布后需要人工审核通过后方可展示,所以当你发现自己发的回复或者新主题没显示时不用着急。所以请勿发广告帖,非法帖和无意义的灌水帖, 坚持宁缺毋滥的原则100年不动摇。回复时请直接回复有用的信息,勿直接留联系方式,否则可能会被封号!
公告 欢迎大家推荐网吧和网咖行业好友加入天下网吧的大家庭,不设门槛完全免费,一起扩大+维护好网吧行业老铁们的最后一块净土。
公告本站帖子为发帖者自发发布,转载请注明来源天下网吧论坛。发帖请遵守相关法律法规!如果分享的软件中有广告,锁主页等行为,请在发帖时注明!!!
公告欢迎大家加入天下网吧QQ群:198018,注意要注明加群原因,否则我保证您进不了群!
公告PS:发求助帖前建议先 【论坛搜索】,那里可能会有你要找的答案;
公告如果求助帖,已经解决了,麻烦您回复下已经解决并分享方法,方便其他同行借鉴您的方法。天下网吧论坛116万会员对您的行为表示感谢!
公告下载币只能通过论坛发帖(尤其是网吧相关的好贴,精华帖),任务,免费获取。不支持任何方式充值,别再联系客服发红包了,没用的!认真回帖是对发帖者的一种尊重!希望大家理解!下载币策略是为了提升大家分享自己的好的网吧相关经验的积极性,如果你分享了你的经验,大家互相学习,我保证你下载币倍增。 免费获取下载币链接
公告本站为方便广大会员方便访问,特意开发了android/iphone版的手机APP下载和微信小程序,用手机访问更自在哦,点击进入下载>>

天下网吧手机版APP下载

 楼主| 发表于 2018-9-28 10:48:46 | 显示全部楼层
2018.09.02 23点左右,累了一天,我正准备睡觉,突然接到一位用户朋友的紧急求助,说可能DBNT被注入或者是其它什么原因,导致只要一开启DBNT客户端,就出现一大堆非法的进程。 解决过程一波三折,这位网维朋友也比较聪明,最终彻底找出原因所在,还意外的发现了一些东西,于是分享给大家。应该朋友的要求,他的名字要打码。
     同时提醒大家最近有大规模针对网吧服务器的入侵事件,其它三个被入侵的朋友的症状表现请看这里:【安全预警】一天4起针对网吧服务器入侵杆入病毒,其中有吃鸡盗号

现在开始
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
但我的第一直觉并不像,因为如果人家注入,是为了隐藏自身,那现在再出一大堆其它进程,又占用大量资源,不是立即 就暴露了吗?

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
考虑到今天有三个朋友的网吧服务器被入侵,我的第一直觉是这位朋友也被入侵了。


多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。


但用户坚称自己服务器不可能被入侵,并且称不运行DBNT就没事。那我们就进一步进行深挖。这位朋友还说“昨天都没有”,这里就是大经常的一个误区,以为昨天没事,代表今天没事,以为自己网吧没事,代表隔壁网吧没事,这是不对的,不容易找到真相。

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
首先我检查了服务器,第一个发现的是领航的文件有问题,虽然 我没有用领航,太最近听说过太多领航的启动文件被人修改植入病毒,这个文件正常应该500KB左右,但这里是近3MB,一看就是被修改过。但用户仍然坚称没有问题,说是去年就在用,这里就陷入了第二个和第三个误区。“已经用了一年的东西并不会出问题”以及“根据这个文件的时间判断他存在多久”

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。


可以看得出,用户也是一个老网维用户,对于解决问题还是很有经验,但一时情急,忽略了很多东西。
但有一个东西就是不能忽略的就是启动了DBNT就出现了多个进程运行。

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。


经过排查我们发现用户朋友在DBNT服务端加载了三个第三方进程,一个一个排查后,发现是 LHClient_Setup.exe 文件只要加载就出现多个不明进程,去掉解决问题。

那么 只要启动DBNT就出现多个进程的原因 找到了,是因为通过DBNT加载了这个 LHClient_Setup.exe  ,这个 LHClient_Setup.exe  是领航的客户端,这个上面我们提到,正常的文件500KB左右,为什么这里近3MB呢?是因为被人重新打包了。
那为什么时间上是一年前的呢?很简单,这个时间也被入侵者修改了,后面还有详细的证据。

本来到这里,问题算是找到,我就去睡觉了,并对这位用户朋友进行了精神上的抚慰。
同时用户朋友自己也悟到了为什么没有领航的网吧也有问题,实际上,这里还是一个误区,你看人在紧张的时候总是容易进入误区。但这个误区的明白要等到第二天我才知道。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。



第二天一起床,我又收到这位朋友发来的很多消息。原来他又中招了。半夜0:22用户发现有些网吧又开始出现了。还把他整昏了。

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

用户又现多余的进程,原来用户还在DBNT的开机执行程序目录 autoexe 中放了一个文件.大家重点注意这个文件,一个360浏览器的图标,一个超长空格文件名,最近大半年网吧服务器被入的侵的用户,无论是放在DBNT开机启动目录,还是直接开包放在镜像包里,还是放在无盘开机通道中,都是这个文件。

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

以为到这里就完了吗?还没有。
最终用户又检查到除了领航还有 dbntcli.exe 也被更改了,本身400多KB的DBNTcli.exe被加入病毒,大小变成了 2.9M和那个植放病毒的领航文件一样大。注意重点大了,你发现没,两个大小完全不一样的文件,修改居然一模一样,这说明了什么?
这说明这个入侵者在更改了文件后,为了进一步迷惑管理员,还修改了被更改文件的修改时间。太坏了。这里还要注意他用的是编程那种资源打包或者是去掉了自解压的特征,已经无法右键直接解压出文件了。

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。 多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。


到这里就差不多了,这位朋友最终分析出入侵者是通过radmin入侵的,有日志等能查证。

多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。

好了,这个教程就到这里,使用dbnt软件有任何问题,欢迎联系我们BBS,在线客服,或者联系深蓝帮您解决。
也同时提醒大家注意,最近入侵网吧很多,手段也在翻新,迷惑性更强,事后排查正变得更加困难。

如果您的服务器有使用DBNT,也有入侵痕迹,可以联系我们客服,帮您免费装一套我们原创的基于DBNT的服务器被黑监视系统,可以监视什么时间,什么文件被动过,方便查找问题所在。(如果您自己有能力找到入侵的源头就完全不需要这个入侵检测,也给我们客服省点时间,谢谢。只有当您自己找不到入侵源头,总是服务器莫名其妙多一些文件才找我们客服帮您安装。因为少装一点程序,总是多一点可用资源。)

回复 支持 反对

使用道具 举报

发表于 2018-9-28 11:45:04 | 显示全部楼层
首先要说的是本帖来自wglm的thinking,我是帖子搬运工,有必要转过来是因为这个事件对各位做网吧的哥们很重要
回复 支持 反对

使用道具 举报

发表于 2018-9-28 19:29:22 | 显示全部楼层
都是利益的诱惑!
回复 支持 反对

使用道具 举报

发表于 2018-9-29 22:14:40 | 显示全部楼层
haihu9527 发表于 2018-9-28 19:29
都是利益的诱惑!

对头,这个比挖矿后门更加恶劣!
回复 支持 反对

使用道具 举报

发表于 2018-10-10 16:44:50 | 显示全部楼层
woshicainiao1 发表于 2018-9-29 22:14
对头,这个比挖矿后门更加恶劣!

他们就是挖矿又加后门才这样。现在个个都上矿瘾了
回复 支持 反对

使用道具 举报

发表于 2018-10-15 21:23:58 | 显示全部楼层
多起专门针对网吧服务器入侵然后植入各种包括吃鸡盗号等病毒的事件,大家多注意下!_网吧论坛_网咖论坛_天下网吧。涨姿势咯!为啥网吧服务器没有防火墙和杀毒软件?比如卡巴斯基!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号   扫一扫,用微信登录

本版积分规则

下载天下网吧手机APP,直接一键登录
您尚未登录,请登陆后浏览更精彩内容!
 注册账号
找回密码

手机版|纯文字版|网吧增值联盟|联系我们|免责声明|网吧论坛 ( 闽ICP备11020296号-2 )|网站地图

GMT+8, 2019-6-26 18:26 , Processed in 0.140625 second(s), 15 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表