会飞的鱼

网吧技术,我们的认真的!
QQ群:594362448
首页 » 未分类 » 年底了,请各位网吧同行做好安全防护!一大波黑产已经盯上网吧了!

年底了,请各位网吧同行做好安全防护!一大波黑产已经盯上网吧了!

看这篇文章的时候,可以先看看我们之前写的那篇
https://www.hxwglm.com/thread-37735-1-1.html

昨天晚上,一位微信好友,找到我,说他维护的网吧,客户机都被添加了开机命令,服务器的远程用的是3389!!
1.jpg
2.png

 

然后,第一次,让我进入他的服务器,拿走了一个样本文件,结果想分析的时候VMP1壳,直接放弃了!!
4.png
然后没办法,我们只能直接在虚拟机下面运行一下,看他是干嘛的,结果,这东西,挺厉害的,发现是虚拟机
直接就退出了。
5.png

然后我们继续排查服务器是怎么被黑的,最后,在这个技术员的排查下,发现了。
对方的IP,对方登入的用户名,隐藏用户名 $  大家应该都能看懂吧?
6.png

而且给人的感觉是扫描器在撞库!!
9.jpg

7.png

10.png

到这里为止,应该可以确定是3389撞库进来的了!!
======
后面,他把客户机开机启动的文件通过邮箱发给了我,我简单给大家分析了一下!!!
拿的了客户机开机启动的文件后!!!就发现是E语言写的。而且图标还是网维大师的!!

11.png12.png
名字,图标,都不难发现,这个人,心思缜密!感觉很了解网吧行业哦!还知道9600,哈哈,应该是9060!

我们拿到这个程序后,立马进行了分析!
13.png
先获取一段列表,控制等!!然后再下载指定的东西!!
14.png
然后分析到这里,发现这只是一个下载器!!然后我们继续!!
我们下载得到SY.exe分析后是经过打包的文件!!然后我们想办法进行解包!!
解包后,我们得到了两个文件。
15.png
我们现在先分析这个SVCHOST.exe 首先,我们发现的还是。。。。隐藏的很好的系统文件说明
16.png
17.png
程序里包含了远程工具应该是用远程用的,
然后我们分析另一个文件!得到的内容:
19.png
20.png
21.png
分析到这里,应该是盗号的。各位发送POST数据等等。获取KEY啊,API接口。
遇到哪些进程,自杀等等!!!
在服务器桌面上还有这么一个360浏览器!!!
18.png
qq.png
好了,吹了这么久的NB,应该要分享一下解决方案了:

服务器这一块:

1.快过年了,网吧生意也好了,建议大家,把路由密码保管好!然后关闭所有端口映射!需要的时候开!!(很大几率减少被扫描!)
2.封掉以下我们提供的所有IP地址,域名,至少能防一下现在这个下载器,盗号的,等!!
IP地址,域名,回复可见!!


ip:  
不离不弃,如果您要查看本帖隐藏内容请回复
IP地址:https://www.hxwglm.com/thread-38036-1-1.html

更多精彩内容:

[VIP工具]PUBG/绝地求生,WIN10下退出不干净导致无法2次进入问题解决

最近STEAM盗号检测工具2019.1.5

网吧开机耳机里有声音??

【原创免费】下载BING背景自动设置桌面背景

【vip软件】QQ网吧MAC,机器号提取工具(绿化大师版)

解决STEAM每次启动都需要在线更新的问题V4<12月8号>

【VIP教程更新】蓝屏/死机/劫持/广告/等问题排查方法

【vip软件】QQ网吧MAC,机器号提取工具(易乐游)

【VIP软件更新】QQ网吧MAC,机器号提取工具(云更新版)

【VIP软件更新】QQ网吧MAC,机器号提取工具(网维大师版)

Steam数据分享,掌握这些数据,可以获得更多机会

【vip软件】绝地求生画质设置工具,窗口版修改数字振动!

公司数据管理软件V9.0.3_By:华夏网盟


以下是赞助商内容:
12314.png

转自请注明华夏网盟 www.hxwglm.com

文章如无特别注明均为原创! 作者: admin, 转载或复制请以 超链接形式 并注明出处 Winos.vip
原文地址《 年底了,请各位网吧同行做好安全防护!一大波黑产已经盯上网吧了!》发布于2019-1-17

分享到:
打赏

评论

游客


切换注册

登录

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册

sitemap