昨天晚上,一位微信好友,找到我,说他维护的网吧,客户机都被添加了开机命令,服务器的远程用的是3389!!   然后,第一次,让我进入他的服务器,拿走了一个样本文件,结果想分析的时候VMP1壳,直接放弃了!!  然后没办法,我们只能直接在虚拟机下面运行一下,看他是干嘛的,结果,这东西,挺厉害的,发现是虚拟机 直接就退出了。  然后我们继续排查服务器是怎么被黑的,最后,在这个技术员的排查下,发现了。 对方的IP,对方登入的用户名,隐藏用户名 $ 大家应该都能看懂吧?  而且给人的感觉是扫描器在撞库!!    到这里为止,应该可以确定是3389撞库进来的了!! ====== 后面,他把客户机开机启动的文件通过邮箱发给了我,我简单给大家分析了一下!!! 拿的了客户机开机启动的文件后!!!就发现是E语言写的。而且图标还是网维大师的!!   名字,图标,都不难发现,这个人,心思缜密!感觉很了解网吧行业哦!还知道9600,哈哈,应该是9060! 我们拿到这个程序后,立马进行了分析!  先获取一段列表,控制等!!然后再下载指定的东西!!  然后分析到这里,发现这只是一个下载器!!然后我们继续!! 我们下载得到SY.exe分析后是经过打包的文件!!然后我们想办法进行解包!! 解包后,我们得到了两个文件。  我们现在先分析这个SVCHOST.exe 首先,我们发现的还是。。。。隐藏的很好的系统文件说明   程序里包含了远程工具应该是用远程用的, 然后我们分析另一个文件!得到的内容:    分析到这里,应该是盗号的。各位发送POST数据等等。获取KEY啊,API接口。 遇到哪些进程,自杀等等!!!在服务器桌面上还有这么一个360浏览器!!!   好了,吹了这么久的NB,应该要分享一下解决方案了: 服务器这一块: 1.快过年了,网吧生意也好了,建议大家,把路由密码保管好!然后关闭所有端口映射!需要的时候开!!(很大几率减少被扫描!) 2.封掉以下我们提供的所有IP地址,域名,至少能防一下现在这个下载器,盗号的,等!! IP地址,域名,回复可见!! ip: 不离不弃,如果您要查看本帖隐藏内容请回复 更多精彩内容: [VIP工具]PUBG/绝地求生,WIN10下退出不干净导致无法2次进入问题解决 解决STEAM每次启动都需要在线更新的问题V4<12月8号> 【VIP软件更新】QQ网吧MAC,机器号提取工具(云更新版) 【VIP软件更新】QQ网吧MAC,机器号提取工具(网维大师版) 以下是赞助商内容:  转载请注明华夏网盟 www.hxwglm.com [attach]9084[/attach] |
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
本站是非盈利性质的论坛,所有信息均为原作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信指出(hxwglm@outlook.com),本站将立即改正.
学网吧技术,到华夏网盟
做网吧行业最后死去的一个论坛
