分享一例网吧被入侵的案例 - 网吧备忘录
通告:收集网吧无盘常见问题,关注网吧行业动态,唾弃和鄙视网吧垄断及恶意广告行为!
横条广告

分享一例网吧被入侵的案例

兽性大发 492 0 条

网吧出现的问题:客户机偶尔随机蓝屏,或者卡一下
排查过程:
1、一开始以为是内网的问题,更换了所有交换机后还是一样。(路由器也换了个)
2、检查服务器,发现服务器的日志记录出现磁盘服务停止又运行的记录。
3、升级无盘软件的版本,问题一样,而且感觉对客户机的影响更大了。
4、从正常运行的网吧对换服务器过来,磁盘服务还是重启。

再说说磁盘服务重启的规律,没有固定的时间点,时间间隔也没有规律。磁盘服务重启前后一段时间,服务器系统没有任何异常,也没有任何报错。

到这里,小结一下,路由器、服务器、交换机,全部都换过了,就是无盘软件没换了,是不是就是无盘软件的问题呢?
于是找客服,客服联系研发,也没看出什么毛病。
绝望之下,就想着用死办法了,上PM抓信息了。在网吧蹲守的两个小时,磁盘服务重启了三次,第二次的时候,我开启了PM,于是终于找到凶手了。请看下面的分析。
先上图
1.png

这张图可以看到,磁盘服务的进程是被系统命令taskkill结束掉的,它的父进程ID是2476,就是CMD命令,那么我们看2476的父进程
2.png

2476的父进程竟然是影子的主进程,难道是影子发疯了杀无盘的磁盘服务?这么2的想法出现后,我整个人也变2了,幸好得搞人提醒:是不是被黑了?
于是马上看影子的日志,果然,一直都是同一个IP连上影子的telnet发送结束磁盘服务进程的命令,导致磁盘服务重启。
3.png

至此,问题已确认,只用更改远程的端口、用户名、密码等信息就OK了。
那么,大家对于这个问题怎么看呢?网吧为什么会被黑?为什么那个做不好的事情的人总是用同一个IP?为什么他会知道远程的端口密码等信息?
4.png
5.jpg
6.jpg

ruqin

与本文相关的文章


发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址