radmin远程被爆破导致被投放增值问题 - 网吧备忘录
通告:收集网吧无盘常见问题,关注网吧行业动态,唾弃和鄙视网吧垄断及恶意广告行为!
横条广告

radmin远程被爆破导致被投放增值问题

兽性大发 929 0 条
  • 【问题现象】

1、技术反馈自己的电脑配置还行,但是玩游戏起来就是非常的不流畅,自己也重新做了系统,最终没有解决。
2、通过网维大师客户端进程查看,有两个可疑进程占用cpu比较高。(PPT工程师在这里提醒下,异常占用CPU消耗网吧资源,属于不正常现象)

1.png

  • 【原因说明】

1、服务器被入侵,然后植入了增值程序。并且是通过系统包的开机脚本启动的。说明这个人对网吧行业系统包特点非常熟悉。

22.jpg

  • 【解决方案】

1、删除服务器游戏盘根目录“开机脚本”目录。
2、卸载radmin远程软件,更换其他的。

  • 【分析过程】

1、已知客户端开机后cpu占用两个程序异常,并且该程序目录位置非常规程序目录。

3.jpg

2、挖矿程序会屏蔽常用的技术工具包括ProcessMonitor、ProcessExplorer等工具,只要一打开就现场就会消失,这一看就知道是阿姆斯特丹的某家增值公司出品佳作。
3、配合其他排查工具,可以清晰的看到行为轨迹,通过cmd反查查到是服务器上被投放了exe导致的。
4、经过技术鉴定该程序与年前发生的多起服务器被入侵的问题一致,断定为radmin入侵导致。

  • 【特别提醒】

1、不推荐使用radmin远程,请及时更换其他远程工具,例如维护大师、维护云等
2、如果非要使用radmin,请修改默认端口,用户名跟密码也需要更换复杂一点的,不要使用123、admin、root等弱口令。

与本文相关的文章


发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址