网维大师论坛-领先的网吧交流平台

 找回密码
 马上注册
查看: 2392|回复: 0

【案例分享】服务器被入侵导致推送挖矿程序

[复制链接]
发表于 2018-3-19 16:58:19 | 显示全部楼层 |阅读模式
【问题背景】
- v( G( ~5 S' x+ z$ K8 Z顺网技术服务中心接到广西柳州某技术反馈多家网吧出现挖矿问题,并通过退还原点,在纯网维大师环境测试仍然会出现。其认定是网维大师投放的。考虑到事情影响程度较大、为避免影响网维大师产品在当地口碑。技术服务中心第一时间委派专家技术协助其处理此问题。
【问题现象】
8 t0 \* F/ }( N1 f  C8 R8 z1.主要现象描述为用户在玩游戏过程中,画面变得明显幌动,FPS帧数一直在10-30之间波动,并且开机时间越长后面卡的越厉害。
! c# q7 p9 s$ c! Z2.此问题出现概率为100%,只要运行任务管理器或者带有检测的技术工具时则自动退出,并且短时间内无法复现。
( |* K: b4 n# S% b3.纯网维大师,不安装任何第三方软件都会出现。
【问题结论】* y8 ?: s3 s4 z' t
1.用户系统环境为:死性不改15Q1,此操作系统有自带维护通道。(客户机系统开机时会执行游戏盘根目录下的“开机脚本”程序)
% y  l* r# o1 y  b  F) m3 j2.人为因素在服务端上创建了“开机脚本”文件夹,并把挖矿程序放在里面,且隐藏了该文件夹,达到了挖矿的目的。
【排查过程】! p, Z9 m6 ~" [( A$ p
1.客户机开机不开任何游戏跟程序,显卡GPU占用率为70%以上。
1 L( ?$ G4 D7 V0 ]2.使用GPU资源占用工具检测出为:xkwggcq.exe(此进程名一般随机创建)进程一直在挖矿操作。. x, t# V# s  z5 f0 L: H9 V
3.通过第三方检查工具windows Monitor工具排查显示此进程是由zpjlcba.exe创建。
7 N( S2 {! ~* z6 l1 g; U! I/ j
4.部署行为抓取工具抓取zpjlcba.exe是由Y:\开机命令\services.exe所创建。
! Q/ T5 N( Y6 h# N
5.查看服务器盘目录隐藏了“开机脚本”创建时间为2018.2.25日。
/ d8 `4 V! M1 m6 |1 ?6 I. c7 o& c% |3 f9 o1 P8 D: H: N+ O  j4 i
+ Y% y- C$ V4 m; M) n  u, f) O
【解决办法】
: n  ~2 c# w: Y1.服务器上取消该文件夹即可
【特别声明】
9 G; z" U; ~( z  j9 t& Q1、网维大师目前没有投放过任何挖矿相关业务,请广大用户如有遇到此类问题在没有查清楚之前的时候积极联系我们处理,不要道听途说、听信他人说辞,以免造成不必要的麻烦以及误解。
% R! _" l/ f. y' s$ i3 ~
您需要登录后才可以回帖 登录 | 马上注册

本版积分规则

QQ|《安全责任书》|联系我们|小黑屋|手机版|网维地图|网维大师论坛 ( 浙B2-20090265-1

GMT+8, 2018-4-25 14:03 , Processed in 0.120918 second(s), 35 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表