今天,有个朋友,说远程看一下他的服务器,是否安全,结果远程一看 发现服务器被黑了,服务器上有一个假进程。diskless.exe (假装无盘服务端进程) 这台服务器上安装了火绒,我看了一下日志。发现 runonce.exe调用diskless.exe启动 diskless.exe下载,(但是runonce.exe只是调用,它并不是母体,这个文件的时间也没有变过,很多年前的。) 并扫描服务端STEAM目录,投放msimg32.dll到steam目录下! 客户机启动steam加载 msimg32.dll 盗号。请大家注意一下。 有可能还会盗取QQ 它有 调用GetQQPass函数 有可能盗取STEAM,也需要QQ邮箱的配合吧。 当然,我们的STEAM防盗号工具也升级了,大家可以直接去下载,然后做成开机启动 就可以了,如果有服务器被黑,被盗号等,直接就会有邮件提醒到您的手机上(工具是收费的) https://www.hxwglm.com/thread-38061-1-1.html (2021.3.20更新,VIP软件用户,直接去VIP软件中心下载即可) 更多精华帖子,可以关注本公众号,回复 “往期精彩” |