找回密码
 加入网盟
分割线
看这篇文章的时候,可以先看看我们之前写的那篇

昨天晚上,一位微信好友,找到我,说他维护的网吧,客户机都被添加了开机命令,服务器的远程用的是3389!!



然后,第一次,让我进入他的服务器,拿走了一个样本文件,结果想分析的时候VMP1壳,直接放弃了!!
然后没办法,我们只能直接在虚拟机下面运行一下,看他是干嘛的,结果,这东西,挺厉害的,发现是虚拟机
直接就退出了。

然后我们继续排查服务器是怎么被黑的,最后,在这个技术员的排查下,发现了。
对方的IP,对方登入的用户名,隐藏用户名 $  大家应该都能看懂吧?

而且给人的感觉是扫描器在撞库!!



到这里为止,应该可以确定是3389撞库进来的了!!
======
后面,他把客户机开机启动的文件通过邮箱发给了我,我简单给大家分析了一下!!!
拿的了客户机开机启动的文件后!!!就发现是E语言写的。而且图标还是网维大师的!!

名字,图标,都不难发现,这个人,心思缜密!感觉很了解网吧行业哦!还知道9600,哈哈,应该是9060!

我们拿到这个程序后,立马进行了分析!
先获取一段列表,控制等!!然后再下载指定的东西!!
然后分析到这里,发现这只是一个下载器!!然后我们继续!!
我们下载得到SY.exe分析后是经过打包的文件!!然后我们想办法进行解包!!
解包后,我们得到了两个文件。
我们现在先分析这个SVCHOST.exe 首先,我们发现的还是。。。。隐藏的很好的系统文件说明
程序里包含了远程工具应该是用远程用的,
然后我们分析另一个文件!得到的内容:
分析到这里,应该是盗号的。各位发送POST数据等等。获取KEY啊,API接口。
遇到哪些进程,自杀等等!!!
在服务器桌面上还有这么一个360浏览器!!!


好了,吹了这么久的NB,应该要分享一下解决方案了:

服务器这一块:

1.快过年了,网吧生意也好了,建议大家,把路由密码保管好!然后关闭所有端口映射!需要的时候开!!(很大几率减少被扫描!)
2.封掉以下我们提供的所有IP地址,域名,至少能防一下现在这个下载器,盗号的,等!!
IP地址,域名,回复可见!!


ip:  
游客,如果您要查看本帖隐藏内容请回复


更多精彩内容:

[VIP工具]PUBG/绝地求生,WIN10下退出不干净导致无法2次进入问题解决

最近STEAM盗号检测工具2019.1.5

网吧开机耳机里有声音??

【原创免费】下载BING背景自动设置桌面背景

解决STEAM每次启动都需要在线更新的问题V4<12月8号>

【VIP教程更新】蓝屏/死机/劫持/广告/等问题排查方法

【vip软件】QQ网吧MAC,机器号提取工具(易乐游)

【VIP软件更新】QQ网吧MAC,机器号提取工具(云更新版)

【VIP软件更新】QQ网吧MAC,机器号提取工具(网维大师版)

Steam数据分享,掌握这些数据,可以获得更多机会

【vip软件】绝地求生画质设置工具,窗口版修改数字振动!

公司数据管理软件V9.0.3_By:华夏网盟


以下是赞助商内容:

转载请注明华夏网盟 www.hxwglm.com

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入网盟

x
分享至 : QQ空间
收藏

16 个回复

倒序浏览
11111111111111111111
回复 使用道具 举报
0001112222333
回复 使用道具 举报
zqace888 列兵 2019-1-16 22:49:26
4#
这个真是无孔不入
回复 使用道具 举报
好东西,谢谢
回复 使用道具 举报
feipanda 列兵 2019-1-17 10:18:56
7#
谢谢大大分享.......................
回复 使用道具 举报
a8585345 列兵 2019-1-17 10:32:58
8#

谢谢大大分享.......................
回复 使用道具 举报
18963242 列兵 2019-1-17 12:23:39
9#
来看看IP地址,准备一下
回复 使用道具 举报
aini871 列兵 2019-1-17 16:35:26
10#
做好安全防护!做好安全防护!做好安全防护!做好安全防护!做好安全防护!
回复 使用道具 举报
12下一页
您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条