鬼撞墙Blog

Good Luck To You!

湖北5家网吧teamviewer远程被恶意控制,并对客户机植入广告程序

今年第8位同行向我们反馈:网吧服务器被人恶意远程控制,并通过无盘服务器上挂载img的方式,植入广告程序,植入程序后并且合并了还原点……

反馈量是以往几年的3~4倍,而这只是我个人接到的反馈,发生过,但我不知道的可能更多!

网吧远程控制安全性改善正在变得刻不容缓!

不过,这次桥段略有不同,之前都是3389、radmin外网映射端口被人扫描入侵,这次是teamviewer被连入……

 

当时收到反馈后,电话简单沟通后得到的信息是:
1、有1家有问题;
2、这家服务器只装了维护大师远程,别的都没装,但还是被恶意连入,并向客户机镜像内添加了广告程序“ctfnon.exe”;

  其实后来晚上9点多到家后才知道,其实早在8月15号的时候,在使用某远程集中管理工具时(记录远程帐号密码,其实使用的仍然是radmin、3389映射端口方式连接),就已经被入侵过,后来他维护的100多家网吧就大部分都换成了维护大师;

  然后8月30日下午13点多又有5家网吧出现恶意连入问题,然后其它网吧还装有其它远程,只有1家网吧仅安装了维护大师远程,也出现被恶意连入,并且维护大师后台并并无远程记录,所以他出于对维护大师的信任联系到我;

  最终经过排查发现,实际上被黑的服务器上装有xt800、teamviewer、维护大师三款远程,teamviewer是某更新软件自带的并不是他安装的,xt800是谁安装的没有详细了解,其实当时在我看来,3款远程应该都是很安全的,不应该出问题,但事实上确实被恶意远程控制,并且给客户机加入广告之后,又合并了还原点,是有时间证据的,于是开始排查;

首先检查维护大师,确认没有被连入过;
接着检查teamviewer的连接日志,结果发现猫腻查看4个网吧的teamviewer日志发现:
1、在合并还原点时间的前1~2分钟左右,都有一台计算机名为server-pc的计算机远程连接过,从时间角度几乎100%吻合;
2、根据当事人的描述来看,更新软件自带的teamviewer他从来都没用过,所以理论上不会有人远程进来,但日志上却有人连接……

以此确认本次入侵其实与teamviewer有99.99%的关系,日志见附件,下载附件可以搜索server-pc关键字查看连接详情;
 TeamViewer12_Logfile.rar (220.01 KB, 下载次数: 7) 

 

有人会问了,不是5家么?另外1家啥情况?额,另外一家自己思考吧~那家网吧木有teamviewer……

在这里再次提醒大家:
1、凡采用调用teamviewer、ttvnc、xt800这类工具的第三方远程工具,建议不要使用,真心很不安全,出了问题都没地方解决;
2、喜欢radmin、3389远程的同学切记自己端口改为不常用的,并且帐号密码尽量复杂一点;
3、建议从现在开始尝试使用我们团队开发的维护大师,因为:
 a)我本人03年入行到现在,没做过任何一件有损大家利益的事情,包括未来也不会,所以团队也是可以值得大家依靠的;
 b)产品完全是自主开发,数据安全、信息安全完全有能力通过自身进化做到极致可靠;
 c)远程引擎采取购买知名引擎开发商源代码进行二次优化,彻底杜绝后门问题;
 d)有服务保障,我们不能保证100%不出问题,但我们能保证100%解决出现的问题;

当然,很多人也担心或质疑维护大师怎么盈利,怎么持续开发产品,会不会用户多了耍流氓?我想说的是,还是3个原则+1个期望:
1、我们接受大家能接受的任何商业模式;
2、我们的盈利不会建立在牺牲大家利益的基础之上;
3、合作、共赢,不耍流氓;

一个期望是,有啥问题一定要像帖子里这位朋友一样,找我们官方求证,不需要猜测!
在这个信息大爆炸的时代,信任的代价非常高,所以我们非常珍惜大家的信任,因此我们会尽最大的努力让彼此的信任持续升华!

发表评论:

Powered By Z-BlogPHP 1.5.1 Zero

Copyright Your WebSite.Some Rights Reserved. 闽ICP备16031347号    点击这里给我发消息