radmin远程被爆破导致被投放增值问题

选择字号： 超大 标准 技术小哥 发布于2019年03月04日 属于 解决方案分享 栏目  1个评论 3665人浏览

大家好，我是东半球第二强的PPT工程师，最近在处理问题中发现从去年年底开始radmin服务器被入侵的问题有增加趋势。昨晚又发现了一家同样的问题，跟大家分享下。

【问题现象】

1、技术反馈自己的电脑配置还行，但是玩游戏起来就是非常的不流畅，自己也重新做了系统，最终没有解决。

2、通过网维大师客户端进程查看，有两个可疑进程占用cpu比较高。（PPT工程师在这里提醒下，异常占用CPU消耗网吧资源，属于不正常现象）

【原因说明】

1、服务器被入侵，然后植入了增值程序。并且是通过系统包的开机脚本启动的。说明这个人对网吧行业系统包特点非常熟悉。

【解决方案】

1、删除服务器游戏盘根目录“开机脚本”目录。

2、卸载radmin远程软件，更换其他的。

【分析过程】

1、已知客户端开机后cpu占用两个程序异常，并且该程序目录位置非常规程序目录。

2、挖矿程序会屏蔽常用的技术工具包括ProcessMonitor、ProcessExplorer等工具，只要一打开就现场就会消失，这一看就知道是阿姆斯特丹的某家增值公司出品佳作。

3、配合其他排查工具，可以清晰的看到行为轨迹，通过cmd反查查到是服务器上被投放了exe导致的。

4、经过技术鉴定该程序与年前发生的多起服务器被入侵的问题一致，断定为radmin入侵导致。

【特别提醒】

1、不推荐使用radmin远程，请及时更换其他远程工具，例如维护大师、维护云等

2、如果非要使用radmin，请修改默认端口，用户名跟密码也需要更换复杂一点的，不要使用123、admin、root等弱口令

【扫描下方二维码关注公众号，定期推送最新、最专业的技术知识。推荐关注！】

打赏

如果对你有帮助，快赞赏下作者吧。

标签：

• 上一篇：Apex自定义游戏效果操作指南
• 下一篇：SC命令创建和删除windows服务

猜你喜欢