Kemarin sore, saya tiba-tiba menemukan bahwa situs web tidak dapat dibuka, memeriksa alasannya, dan menemukan bahwa port database jarak jauh tidak dapat dibuka, jadi saya masuk ke server database jarak jauh.
Saya menemukan bahwa layanan MySQL telah berhenti dan menemukan bahwa CPU menempati 100%, seperti yang ditunjukkan pada gambar berikut:
Dalam penyortiran hunian CPU, ditemukan bahwa "win1ogins.exe" menghabiskan sumber daya paling banyak, menempati 73% CPU, menurut pengalaman pribadi, ini harus perangkat lunak penambangan, yaitu menambang XMR Monero!
Saya juga menemukan proses "MyBu.exe" Yiyu, dan saya berpikir, kapan server mengunggah program yang ditulis dalam Yiyu? Seperti yang ditunjukkan di bawah ini:
Klik kanan pada "MyBu.exe" untuk membuka lokasi file, lokasi folder: C: \ Windows dan kemudian urutkan berdasarkan waktu, dan temukan 3 file baru, seperti yang ditunjukkan di bawah ini:
1ndy.exe, MyBu.exe, Mzol.exe dokumen
Melihat file-file aneh ini, saya merasa bahwa server seharusnya diretas, saya melihat di log Windows dan menemukan bahwa log login telah dihapus, dan server benar-benar diretas!
Kami mencoba "win1ogins.exe" klik kanan pada proses dan membuka lokasi file, tetapi ternyata tidak dapat dibuka!! Tidak ada reaksi! Baiklah! Alat !!
Alat yang saya gunakan adalah "PCHunter64.exe", cukup cari dan unduh sendiri
Folder tempat "win1ogins.exe" berada adalah: C:\Windows\Fonts\system(x64)\ seperti yang ditunjukkan pada gambar di bawah ini:
Kami tidak dapat menemukan folder ini di Explorer, seperti yang ditunjukkan di bawah ini:
Operasi berikut, saya menyalin 3 file Trojan virus ke server yang baru saya beli untuk dioperasikan!!
Saya menyalin file virus ke server yang baru saya beli, dan kemudian mencoba membuka file MyBu.exe, dan menemukan bahwa MyBu.exe telah dihapus sendiri! Dan perangkat lunak penambangan dirilis, kami tahu bahwa penjelajah tidak dapat membuka jalur file,
Kami mencoba menggunakan alat powershell yang disertakan dengan versi baru Windows, dan menemukan bahwa perangkat lunak penambangan ada, dan ada 3 folder
(Perhatikan bahwa dalam keadaan normal: C:\Windows\Fonts tidak memiliki folder apa pun di bawahnya!!)
Saya menginstal alat pengambilan paket FD di server saya, kami mencoba membuka perangkat lunak "1ndy.exe", menemukannya dan mencoba mengakses: http://221.229.204.124:9622/9622.exe harus mengunduh Trojan virus terbaru
Sekarang situs web tidak dapat diakses.
Kami mencoba membuka perangkat lunak "Mzol.exe" dan menemukan bahwa program tidak tahu apa yang ingin dilakukannya. Kami membuka program dengan Notepad, seperti yang ditunjukkan di bawah ini:
LogonServer.exe Catur dan kartu permainan GameServer.exe Baidu membunuh BaiduSdSvc.exe lunak menemukan ServUDaemon.exe S-U dalam meledakkan DUB.exe dalam memindai 1433 1433.exe dalam menangkap ayam S.exe Microsoft Antivirus mssecess.exe PENYEMBUHAN CEPAT QUHLPSVC.EXE Dr. An V3 V3Svc.exe Dr. Ahn patray.exe Korean Capsule AYAgent.aye Traffic Ore Miner.exe Trend TMBMSRV.exe Ke Niu knsdtray.exe QQ QQ.exe K7 Antivirus K7TSecurity.exe QQ Computer Butler QQPCRTP.exe Kingsoft Guardian ksafe.exe Norton Antivirus rtvscan.exe Avast Network Security ashDisp.exe Avira avcenter.exe Kingsoft kxetray.exe NOD32 egui.exe McCafe Mcshield.exe Rising Antivirus RavMonD.exe Jiangmin Antivirus KvMonXP.exe Kaspersky avp.exe 360 Antivirus 360sd.exe 360 Security Guard 360tray.exe : %s:%d:%s F r i e n d l y N a m e SysFreeString Oleaut32.dll CoCreateInstance CoUninitialize CoInitialize Ole32.dll %d*%sMHz HARDWARE\DEscrip{filtering}tION\System\CentralProcessor\0 ~MHz c:\%s kernel32.dll IsWow64Process No Info Mulai masuk ke SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Windows\1ndy.exe Descrip{filter}tion SYSTEM\CurrentControlSet\Services\%s RtlGetNtVersionNumbers ntdll.dll Koneksi LAIN Koneksi SIBUK Koneksi PROXY Koneksi LAN Koneksi MODEM NULL CTXOPConntion_Class 3389 PortNumber SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\%s Tidak ditemukan Default RDP-Tcp Penulis: Shi Yonggang, email:pizzq@sina.com
Secara pribadi, saya kira "Mzol.exe" dan "1ndy.exe" sebenarnya adalah hal yang sama, hanya perbedaan antara versi baru dan versi lama!
Mari kita lihat win1ogins.exe parameter startup perangkat lunak, seperti yang ditunjukkan di bawah ini:
C:\Windows\Fonts\system(x64)\win1ogins.exe -a cryptonight -o stratum+tcp://pool.supportxmr.com:5555 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p MyBlue -o stratum+tcp://pool.minexmr.com:443 -u 49YwvcQRrVvYXR2H9Ww5u1FaB3AhGVCuo8iWnc99BVPv5Su2epJ3mYfN3voS6h3Kurd8V5rGPSooyd7LdWYLXXwjSjdZb9y -p x -k --donate-level=1
Jika kita benar-benar menambang XMR Monero, kita membuka alamat kolam penambangan: https://supportxmr.com/ Kueri alamat dompet, seperti yang ditunjukkan pada gambar di bawah ini:
Kami menghitung pendapatan sesuai dengan daya komputasi, menggali 0,42 koin sehari, dan menghitung lebih dari 1.000 sesuai dengan pasar saat ini, pendapatan harian mungkin lebih dari 500 yuan!
Tentu saja, Monero juga telah naik menjadi lebih dari 2.000 yuan!
Adapun cara menghapus virus penambangan "win1ogins.exe", program PCHunter64 dapat menghapus virus penambangan secara manual! Hanya mengakhiri proses tidak berhasil, saya telah membersihkan virus secara manual di server saya.
Tentu saja, lebih baik menyerahkannya kepada orang lain untuk melakukan menghilangkan virus, lagipula, saya bukan seorang profesional dalam melakukan ini!
Terakhir, lampirkan 3 file virus dan unzip kata sandi A123456
1ndy.zip
(1.29 MB, Jumlah unduhan: 12, 售价: 1 粒MB)
(Akhir)
|
Diposting pada 04/04/2018 12.37.15
|
|
|
|
