本文作者:网吧XP

radmin远程被爆破导致被投放增值问题

网吧XP 4个月前 ( 03-31 ) 949 抢沙发
radmin远程被爆破导致被投放增值问题摘要: 大家好,我是东半球第二强的PPT工程师,最近在处理问题中发现从去年年底开始radmin服务器被入侵的问题有增加趋势。昨晚又发现了一家同样的问题,跟大家分享下。【问题现象】1、技术反...

大家好,我是东半球第二强的PPT工程师,最近在处理问题中发现从去年年底开始radmin服务器被入侵的问题有增加趋势。昨晚又发现了一家同样的问题,跟大家分享下。


【问题现象】

1、技术反馈自己的电脑配置还行,但是玩游戏起来就是非常的不流畅,自己也重新做了系统,最终没有解决。

2、通过网维大师客户端进程查看,有两个可疑进程占用cpu比较高。(PPT工程师在这里提醒下,异常占用CPU消耗网吧资源,属于不正常现象)


QQ截图20190304190626.png


【原因说明】

1、服务器被入侵,然后植入了增值程序。并且是通过系统包的开机脚本启动的。说明这个人对网吧行业系统包特点非常熟悉。


QQ截图20190304191125.png


【解决方案】

1、删除服务器游戏盘根目录“开机脚本”目录。

2、卸载radmin远程软件,更换其他的。


【分析过程】

1、已知客户端开机后cpu占用两个程序异常,并且该程序目录位置非常规程序目录。


222553s7jtmt78tmtcltbv.jpg


2、挖矿程序会屏蔽常用的技术工具包括ProcessMonitor、ProcessExplorer等工具,只要一打开就现场就会消失,这一看就知道是阿姆斯特丹的某家增值公司出品佳作。

3、配合其他排查工具,可以清晰的看到行为轨迹,通过cmd反查查到是服务器上被投放了exe导致的。

4、经过技术鉴定该程序与年前发生的多起服务器被入侵的问题一致,断定为radmin入侵导致。


【特别提醒】

1、不推荐使用radmin远程,请及时更换其他远程工具,例如维护大师、维护云等

2、如果非要使用radmin,请修改默认端口,用户名跟密码也需要更换复杂一点的,不要使用123、admin、root等弱口令


文章投稿或转载声明:

来源:顺网小哥版权归原作者所有,转载请保留出处。本站文章发布于 4个月前 ( 03-31 )
温馨提示:文章内容系作者个人观点,不代表网吧XP对其观点赞同或支持。

分享到:
赞(0

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,949人围观)参与讨论

还没有评论,来说两句吧...