找回密码
 加入网盟
分割线
官方精品推荐
近日由于网吧行业慢慢复苏,让一些灰色产业也开始发力
排查问题并非一日之功,经过多次排查,判断,最终在某个友人的环境下确定了一个
该问题是服务器被感染了,至于感染的途径暂时未知,可能是安装第三方程序多了导致,也有可能是远程泄露导致被入侵
问题现象:封号
1.png

进程名:随机
服务:随机
路劲:syswow64目录下
该进程还会调用一个随机名DLL,目录也在syswow64目录下。随机进程图标一致,MD5等无法确认,第一个环境已经丢失
MD5: 691B646757CB20C603CAA58CC5644080
SHA1: 771440BB9F738BB8149724120C79B6A191AC58A4
CRC32: 4714085F
进程行为



创建本地线程
枚举进程

其他行为
直接调用系统关键API
检测自身是否被调试
创建互斥体
创建事件对象
打开互斥体
搜索kernel32.dll基地址
打开事件
直接操作物理设备
调用Sleep函数
直接获取CPU时钟
VMWare特殊指令检测虚拟机

1.png
解决方法:找到进程,结束进程如何找进程:
1.看进程图标
2.看进程名
3.看服务名
全部确定之后,先查看进程所调用的dll文件,然后把进程结束掉,之后把随机进程文件和dll文件都删除。路由器屏蔽IP:13.107.246.50

该现象还有一些疑问,比如它是在服务器上,只是行为异常,但是并没有盗号。 那他和客户机盗号有没有关联? 目前还无从得知。
只是我们网吧删除该文件之后,网吧的确没有再出现盗号,分析这个文件也的确检出了不一样的地方。有没有可能是巧合? 你也可以试试确定下。

如果有遇到LOL封号可以删除,观察看看。

最后与技术共勉:保住自己的口碑,生意是做不完的。
分享至 : QQ空间
收藏

4 个回复

倒序浏览
laosigan 1 2023-3-6 21:31:24
2#
感谢楼主
回复 使用道具 举报
zhangpan 1 2023-3-6 23:23:46
3#
感谢楼主分享
回复 使用道具 举报
18624624333 2 2023-3-7 04:32:09
4#
膜拜大神3秒钟
回复 使用道具 举报
Ber 1 2023-3-7 19:54:22
5#
奥利给
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条