|
近期我们接到了 多家门店反馈被入侵的问题. 经过分析以后, 我们判断此次入侵是 有不法分子通过多种渠道, 对门店实施违法犯罪活动. 目前有在QQ群,微信群中,有技术人员发现 有不法分子通过线上招募的方式, 安排不法人员前往门店使用客户机攻击服务器. 如有发现被入侵的用户, 可以根据C盘STUPDATE.EXE所生成的时间, 定位对应的上机人, 并查询该用户的身份证举报至网警处, 避免更多的门店受到损害. 如果你本地网警未受理,可以在 进行网络举报,最大限度震慑犯罪分子. 以下平台漏洞皆根据日志以及病毒文件样本推测所得结论, 并未获得原始入侵工具, 故有可能与真实情况有出入。。。 特此说明。 我怎么确定服务器中了这个木马?
目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”,不排除后面会变化。
打开cmd,输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。 或搜索C盘下是否有STupdater.exe文件,一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下,如果有表示中招,还要检查服务器启动项. 目前我的网吧都没中招,昨天问询了大约十几个人这里的协议没卸载,我都是装好服务器就卸载的,仅供参考 据说Windows Server 2019不能卸载,将这一项的勾去掉即可。 云更新 云更新平台发现被入侵时, 服务器的日志记录中 发现客户端使用了爆破或破解VNC远程的方法 连接至了服务器。 同时在服务器C盘windows目录 下生成STUPDATE.EXE文件,注册服务等工作. 下图为STUPDATE.EXE释放时 同一时间的服务器VNC日志 系统日志中有大量 TVNCSERVER尝试登录的日志. 解决方案 我们建议将下图中的kvnserver64文件结束进程后,改名即可 顺网网维大师 通过检查发现网维大师是通过游戏效果上传进行注入的. 不法分子通过在使用客户端上传游戏接口, 伪造身份以及封包, 将上传文件修改为以下路径 d:\网维大师\barserver\GameOpData\1592644237.rar\..\..\..\BarServer\TransferFilePatchEx.exe 的文件进行了溢出攻击。 所以出现问题的门店在 GameOpData文件夹下 会生成包含1592644237.rar类似的文件夹. 如下图 其中..\代表返回上一级目录 ..\..\..\代表回到BarServer目录下, 将目录下的TransferFilePatchEx.exe进行替换. 从而达到了溢出效果. 将目标文件替换为不法分子的TransferFilePatchEx.exe 替换后的文件还伪造顺网的签名 同时TransferFilePatch被修改了时间 服务器入侵结束后, 在服务器C盘windows目录下生成STUPDATE.EXE文件, 注册服务等工作. 入侵日志文件在此处下载 提取码:zsno 在log日志中可以看到上传的时间以及IP, 可以轻松定位不法分子. 解决方案 请等待官方解决 易乐游 在易乐游平台中也发现C盘 生成STUPDATE.EXE文件. 但是由于现场没有被保存, 我们只能通过日志来进行推测。 根据LOG发现生成STUPDATE.EXE的时间, 去查询当天关于STVNC的远程log日志, 该日志非常大。 有可能和云更新一样, 是通过破解或者是爆破VNC来达到侵入服务器端的目的. 所以推荐在易乐游官方正式说明前, 可以将以下服务进行关闭,来降低降低被入侵的可能性. 近期被入侵的朋友可以尽快联系易乐游工作人员, 这样可以在日志文件被清除前保留现场, 从而进一步确定不肖分子所使用的方法. 解决方案 我们建议将以下远程服务在官方没有给明确解决方案之前,
将此服务设置为停用状态. 安装杀毒的用户 安装火绒的用户因为杀毒软件的存在, 木马被释放之后就被查杀了, 所以达到了防御效果。 但是软件的漏洞还在,应尽快修补漏洞。 我们可以等待无盘厂商的专业人员对不法分子的客户端分析, 从而将已经安装的木马完全卸载掉. 作为应急处理。 如果可以,猛烈猛烈建议重做服务器!!! 结语 可以看到此次入侵是对网吧行业非常了解的不法人员所为. 同时我们看到众多维护以及开发人员为了解决该问题加班加点, 在这里诸葛平台为门店奔波的您点赞. 目前已经有多个城市已经准确拿到线下不法分子的准确信息,并报告至网警. 结果如何我们拭目以待. 特别感谢运维人员黄海峰,小网虫提供环境
| 
/1 
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
做网吧行业最后死去的一个论坛
