• 扫一扫关注微信
  • 扫一扫二维码下载
    客户端下载 APP开发中 敬请期待
新网吧联盟 首页 技术分享 查看内容

radmin远程被爆破导致被投放增值问题

1209 0

WCurry 网站编辑 | 2019-12-16 08:55

摘要: 问题现象:1、技术反馈自己的电脑配置还行,但是玩游戏起来就是非常的不流畅,自己也重新做了系统,最终没有解决。2、通过网维大师客户端进程查看,有两个可疑进程占用cpu比较高。(PPT工程师在这里提醒下,异常占用 ...
问题现象:1、技术反馈自己的电脑配置还行,但是玩游戏起来就是非常的不流畅,自己也重新做了系统,最终没有解决。
2、通过网维大师客户端进程查看,有两个可疑进程占用cpu比较高。(PPT工程师在这里提醒下,异常占用CPU消耗网吧资源,属于不正常现象)
排查过程:1、已知客户端开机后cpu占用两个程序异常,并且该程序目录位置非常规程序目录。

2、挖矿程序会屏蔽常用的技术工具包括ProcessMonitor、ProcessExplorer等工具,只要一打开就现场就会消失,这一看就知道是阿姆斯特丹的某家增值公司出品佳作。
3、配合其他排查工具,可以清晰的看到行为轨迹,通过cmd反查查到是服务器上被投放了exe导致的。
4、经过技术鉴定该程序与年前发生的多起服务器被入侵的问题一致,断定为radmin入侵导致。
问题原因:1、服务器被入侵,然后植入了增值程序。并且是通过系统包的开机脚本启动的。说明这个人对网吧行业系统包特点非常熟悉
解决方法:1、删除服务器游戏盘根目录“开机脚本”目录。
2、卸载radmin远程软件,更换其他的。

鲜花

握手

雷人

路过

鸡蛋

最新评论

    © 2001-2018 Comsenz Inc. Powered by Discuz! X3.4

    返回顶部