你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

分享一例网吧被入侵的案例

 网吧出现的问题:客户机偶尔随机蓝屏,或者卡一下
排查过程:
1、一开始以为是内网的问题,更换了所有交换机后还是一样。(路由器也换了个)
2、检查服务器,发现服务器的日志记录出现磁盘服务停止又运行的记录。
3、升级无盘软件的版本,问题一样,而且感觉对客户机的影响更大了。
4、从正常运行的网吧对换服务器过来,磁盘服务还是重启。

再说说磁盘服务重启的规律,没有固定的时间点,时间间隔也没有规律。磁盘服务重启前后一段时间,服务器系统没有任何异常,也没有任何报错。

到这里,小结一下,路由器、服务器、交换机,全部都换过了,就是无盘软件没换了,是不是就是无盘软件的问题呢?
于是找客服,客服联系研发,也没看出什么毛病。
绝望之下,就想着用死办法了,上PM抓信息了。在网吧蹲守的两个小时,磁盘服务重启了三次,第二次的时候,我开启了PM,于是终于找到凶手了。请看下面的分析。
先上图
2.png
这张图可以看到,磁盘服务的进程是被系统命令taskkill结束掉的,它的父进程ID是2476,就是CMD命令,那么我们看2476的父进程
3.png
2476的父进程竟然是影子的主进程,难道是影子发疯了杀无盘的磁盘服务?这么2的想法出现后,我整个人也变2了,幸好得搞人提醒:是不是被黑了?
于是马上看影子的日志,果然,一直都是同一个IP连上影子的telnet发送结束磁盘服务进程的命令,导致磁盘服务重启。
6.png
至此,问题已确认,只用更改远程的端口、用户名、密码等信息就OK了。
那么,大家对于这个问题怎么看呢?网吧为什么会被黑?为什么那个做不好的事情的人总是用同一个IP?为什么他会知道远程的端口密码等信息?




1.png
4.jpg
5.jpg



文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 81
发表评论
你没有权限发表留言!