<安全警报>服务器入侵添加开机命令并挖矿分析以及解决方案2020.10.4
今天有个朋友联系我,说开机命令有一条空白的,找了客服,也没搞定找到我,我感觉这有点像中毒了。然后就同意给他远程看看。
然后我运行了一下我们的病毒检测工具,果然报毒了。
https://www.hxwglm.com/thread-38059-1-1.html
然后开始分析,以及如何解决这个问题。
在控制台,用户无法选择和删除这个开机命令。果然越来越高明了。
然后客户机启动后,直接挖矿,用户卡死,老板骂死。这玩意客户机启动后,还删除自己,果然很厉害
然后我们打开数据库后,发现了一条 NetbarQQWG 分类是 系统更新路径是c:\users\comgame\
启动文件是 SecureIdentify.exe 图标是QQ网吧 没有数字签名!如果遇到不懂的,QQ网吧又要背锅了。哈哈
然后如何解决:?
1.首先安装我们的病毒检测工具,如果发现入侵,可以在第一时间处理这个问题,就不会被老板骂死,顾客叼死了
2.把网维数据库barserver.db 复制出来,用SQLITEDEVELOPER 或者 Navicat Premium 打开即可。
Navicat Premium 下载地址: https://www.hxwglm.com/thread-38451-1-1.html
3.然后找到 tbl_Package 表 找到pkgid比较低的应用 就可以看到不是你自己添加的东西的序列了
4.然后删除这条数据,然后保存,
5.然后在服务器上,先备份一次这个数据库文件,
6.然后结束barserver.exe进程
7.把这个barserver.db替换进去
8.删除 c:\users\comgame\(或者你找到的异常对应开机目录文件)
9.再次结束barserver.exe 和BsAgent_0.exe 当然,你直接重建B盘,或者直接重启服务器也是可以的啦
最最最最最重要的,你如果不会的话,可以看我们的教程,https://www.hxwglm.com/thread-10188-1-1.html
10.最最最重要的,重新加固服务器系统安全,这一块,我们华夏网盟论坛很多官方资料可以查哦
最后,来一波广告。
更多好工具,好软件【2020教程更新】原版WIN10安装,优化,调试,封包,万能包,无盘系统安装,马蹄更新防止STEAM盗号,检测服务器被黑工具
如何手动安装 wegame版古剑奇谭网络版
AMD/INTEL/Nvida/Ati/CPU/显卡/修改工具,支持有盘/无盘/win7/win10/本地驱动/pnp
VIP教程/解决网吧叫卡,玩游戏卡顿,掉FPS等问题系列教程|2019VIP教程更新|0基础全套视频教程|
360极速浏览器网吧专版V7.0 BY:华夏网盟显卡,CPU一样,有的网吧绝地求生卡,有的不卡?
【VIP软件】遇到谋个进程时更换桌面壁纸墙纸工具网吧淡季即将来临(这是一篇推广文章)
英雄联盟特权失效排查方法!
页:
[1]