WinOs.vip

网吧技术,我们的认真的!
QQ群:594362448
首页 » 未分类 » <安全警报>服务器入侵添加开机命令并挖矿分析以及解决方案2020.10.4

<安全警报>服务器入侵添加开机命令并挖矿分析以及解决方案2020.10.4

今天有个朋友联系我,说开机命令有一条空白的,找了客服,也没搞定
找到我,我感觉这有点像中毒了。然后就同意给他远程看看。
3.png
lt.jpg
然后我运行了一下我们的病毒检测工具,果然报毒了。
https://www.hxwglm.com/thread-38059-1-1.html
4.png
然后开始分析,以及如何解决这个问题。
在控制台,用户无法选择和删除这个开机命令。果然越来越高明了。
然后客户机启动后,直接挖矿,用户卡死,老板骂死。这玩意客户机启动后,还删除自己,果然很厉害
然后我们打开数据库后,发现了一条 NetbarQQWG 分类是 系统更新  路径是c:\users\comgame\
启动文件是 SecureIdentify.exe 图标是QQ网吧 没有数字签名!如果遇到不懂的,QQ网吧又要背锅了。哈哈
1.png
2.png
lt2.jpg
然后如何解决:?
1.首先安装我们的病毒检测工具,如果发现入侵,可以在第一时间处理这个问题,就不会被老板骂死,顾客叼死了
2.把网维数据库barserver.db 复制出来,用SQLITE  DEVELOPER 或者 Navicat Premium 打开即可。
Navicat Premium 下载地址: https://www.hxwglm.com/thread-38451-1-1.html
3.然后找到 tbl_Package 表 找到pkgid比较低的应用 就可以看到不是你自己添加的东西的序列了
4.然后删除这条数据,然后保存,
5.然后在服务器上,先备份一次这个数据库文件,
6.然后结束barserver.exe进程
7.把这个barserver.db替换进去 
8.删除 c:\users\comgame\(或者你找到的异常对应开机目录文件)
9.再次结束barserver.exe 和BsAgent_0.exe 当然,你直接重建B盘,或者直接重启服务器也是可以的啦
最最最最最重要的,你如果不会的话,可以看我们的教程,https://www.hxwglm.com/thread-10188-1-1.html
10.最最最重要的,重新加固服务器系统安全,这一块,我们华夏网盟论坛很多官方资料可以查哦

最后,来一波广告。
3.jpg

更多好工具,好软件
防止STEAM盗号,检测服务器被黑工具
AMD/INTEL/Nvida/Ati/CPU/显卡/修改工具,支持有盘/无盘/win7/win10/本地驱动/pnp
1.jpg

文章如无特别注明均为原创! 作者: admin, 转载或复制请以 超链接形式 并注明出处 Winos.vip
原文地址《 <安全警报>服务器入侵添加开机命令并挖矿分析以及解决方案2020.10.4》发布于2020-10-4

评论

游客

切换注册

登录

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册

sitemap