找回密码
 加入网盟
分割线
官方精品推荐
看这篇文章的时候,可以先看看我们之前写的那篇

昨天晚上,一位微信好友,找到我,说他维护的网吧,客户机都被添加了开机命令,服务器的远程用的是3389!!
1.jpg
2.png



然后,第一次,让我进入他的服务器,拿走了一个样本文件,结果想分析的时候VMP1壳,直接放弃了!!
4.png
然后没办法,我们只能直接在虚拟机下面运行一下,看他是干嘛的,结果,这东西,挺厉害的,发现是虚拟机
直接就退出了。
5.png

然后我们继续排查服务器是怎么被黑的,最后,在这个技术员的排查下,发现了。
对方的IP,对方登入的用户名,隐藏用户名 $  大家应该都能看懂吧?
6.png

而且给人的感觉是扫描器在撞库!!
9.jpg

7.png

10.png

到这里为止,应该可以确定是3389撞库进来的了!!
======
后面,他把客户机开机启动的文件通过邮箱发给了我,我简单给大家分析了一下!!!
拿的了客户机开机启动的文件后!!!就发现是E语言写的。而且图标还是网维大师的!!

11.png 12.png
名字,图标,都不难发现,这个人,心思缜密!感觉很了解网吧行业哦!还知道9600,哈哈,应该是9060!

我们拿到这个程序后,立马进行了分析!
13.png
先获取一段列表,控制等!!然后再下载指定的东西!!
14.png
然后分析到这里,发现这只是一个下载器!!然后我们继续!!
我们下载得到SY.exe分析后是经过打包的文件!!然后我们想办法进行解包!!
解包后,我们得到了两个文件。
15.png
我们现在先分析这个SVCHOST.exe 首先,我们发现的还是。。。。隐藏的很好的系统文件说明
16.png
17.png
程序里包含了远程工具应该是用远程用的,
然后我们分析另一个文件!得到的内容:
19.png
20.png
21.png
分析到这里,应该是盗号的。各位发送POST数据等等。获取KEY啊,API接口。
遇到哪些进程,自杀等等!!!
在服务器桌面上还有这么一个360浏览器!!!
18.png
qq.png
好了,吹了这么久的NB,应该要分享一下解决方案了:

服务器这一块:

1.快过年了,网吧生意也好了,建议大家,把路由密码保管好!然后关闭所有端口映射!需要的时候开!!(很大几率减少被扫描!)
2.封掉以下我们提供的所有IP地址,域名,至少能防一下现在这个下载器,盗号的,等!!
IP地址,域名,回复可见!!


ip:  
游客,如果您要查看本帖隐藏内容请回复


更多精彩内容:

[VIP工具]PUBG/绝地求生,WIN10下退出不干净导致无法2次进入问题解决

最近STEAM盗号检测工具2019.1.5

网吧开机耳机里有声音??

【原创免费】下载BING背景自动设置桌面背景

解决STEAM每次启动都需要在线更新的问题V4<12月8号>

【VIP教程更新】蓝屏/死机/劫持/广告/等问题排查方法

【vip软件】QQ网吧MAC,机器号提取工具(易乐游)

【VIP软件更新】QQ网吧MAC,机器号提取工具(云更新版)

【VIP软件更新】QQ网吧MAC,机器号提取工具(网维大师版)

Steam数据分享,掌握这些数据,可以获得更多机会

【vip软件】绝地求生画质设置工具,窗口版修改数字振动!

公司数据管理软件V9.0.3_By:华夏网盟


以下是赞助商内容:
12314.png

转载请注明华夏网盟 www.hxwglm.com
分享至 : QQ空间
收藏

25 个回复

倒序浏览
11111111111111111111
回复 使用道具 举报
0001112222333
回复 使用道具 举报
这个真是无孔不入
回复 使用道具 举报
好东西,谢谢
回复 使用道具 举报
谢谢大大分享.......................
回复 使用道具 举报

谢谢大大分享.......................
回复 使用道具 举报
来看看IP地址,准备一下
回复 使用道具 举报
做好安全防护!做好安全防护!做好安全防护!做好安全防护!做好安全防护!
回复 使用道具 举报
123下一页
您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条