|
昨天晚上,一位微信好友,找到我,说他维护的网吧,客户机都被添加了开机命令,服务器的远程用的是3389!!
然后,第一次,让我进入他的服务器,拿走了一个样本文件,结果想分析的时候VMP1壳,直接放弃了!! 然后没办法,我们只能直接在虚拟机下面运行一下,看他是干嘛的,结果,这东西,挺厉害的,发现是虚拟机 直接就退出了。
然后我们继续排查服务器是怎么被黑的,最后,在这个技术员的排查下,发现了。 对方的IP,对方登入的用户名,隐藏用户名 $ 大家应该都能看懂吧?
而且给人的感觉是扫描器在撞库!!
到这里为止,应该可以确定是3389撞库进来的了!! ====== 后面,他把客户机开机启动的文件通过邮箱发给了我,我简单给大家分析了一下!!! 拿的了客户机开机启动的文件后!!!就发现是E语言写的。而且图标还是网维大师的!!
名字,图标,都不难发现,这个人,心思缜密!感觉很了解网吧行业哦!还知道9600,哈哈,应该是9060!
我们拿到这个程序后,立马进行了分析! 先获取一段列表,控制等!!然后再下载指定的东西!! 然后分析到这里,发现这只是一个下载器!!然后我们继续!! 我们下载得到SY.exe分析后是经过打包的文件!!然后我们想办法进行解包!! 解包后,我们得到了两个文件。 我们现在先分析这个SVCHOST.exe 首先,我们发现的还是。。。。隐藏的很好的系统文件说明 程序里包含了远程工具应该是用远程用的, 然后我们分析另一个文件!得到的内容: 分析到这里,应该是盗号的。各位发送POST数据等等。获取KEY啊,API接口。 遇到哪些进程,自杀等等!!!
在服务器桌面上还有这么一个360浏览器!!!
好了,吹了这么久的NB,应该要分享一下解决方案了:
服务器这一块:
1.快过年了,网吧生意也好了,建议大家,把路由密码保管好!然后关闭所有端口映射!需要的时候开!!(很大几率减少被扫描!)
2.封掉以下我们提供的所有IP地址,域名,至少能防一下现在这个下载器,盗号的,等!!
IP地址,域名,回复可见!!
ip:
更多精彩内容: [VIP工具]PUBG/绝地求生,WIN10下退出不干净导致无法2次进入问题解决
最近STEAM盗号检测工具2019.1.5
网吧开机耳机里有声音??
【原创免费】下载BING背景自动设置桌面背景
解决STEAM每次启动都需要在线更新的问题V4<12月8号>
【VIP教程更新】蓝屏/死机/劫持/广告/等问题排查方法 【vip软件】QQ网吧MAC,机器号提取工具(易乐游)
【VIP软件更新】QQ网吧MAC,机器号提取工具(云更新版)
【VIP软件更新】QQ网吧MAC,机器号提取工具(网维大师版)
Steam数据分享,掌握这些数据,可以获得更多机会
【vip软件】绝地求生画质设置工具,窗口版修改数字振动! 公司数据管理软件V9.0.3_By:华夏网盟
以下是赞助商内容:
转载请注明华夏网盟 www.hxwglm.com
| 
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
显身卡
做网吧行业最后死去的一个论坛
