- N +

请注意不法分子利用软件漏洞入侵门店

请注意不法分子利用软件漏洞入侵门店原标题:请注意不法分子利用软件漏洞入侵门店

导读:

近期我们接到了多家门店反馈被入侵的问题.经过分析以后,我们判断此次入侵是有不法分子通过多种渠道,对门店实施违法犯罪活动. 目前有在QQ群,微信群中,有技术人员发现有不...

3686.jpg_wh1200.jpg


近期我们接到了

多家门店反馈被入侵的问题.

经过分析以后,

我们判断此次入侵是

有不法分子通过多种渠道,

对门店实施违法犯罪活动.

 

目前有在QQ群,微信群中,有技术人员发现

有不法分子通过线上招募的方式,

安排不法人员前往门店使用客户机攻击服务器.


如有发现被入侵的用户,

可以根据C盘STUPDATE.EXE所生成的时间,


定位对应的上机人,

并查询该用户的身份证举报至网警处,


避免更多的门店受到损害.

如果你本地网警未受理,可以在

http://www.cyberpolice.cn/wfjb/

进行网络举报,最大限度震慑犯罪分子.


以下平台漏洞皆根据日志以及病毒文件样本推测所得结论,

并未获得原始入侵工具,

故有可能与真实情况有出入

特此说明。


云更新


云更新平台发现被入侵时,

服务器的日志记录中

发现客户端使用了爆破或破解VNC远程的方法

连接至了服务器。

同时在服务器C盘windows目录

下生成STUPDATE.EXE文件,注册服务等工作.


下图为STUPDATE.EXE释放时

同一时间的服务器VNC日志

1.png


系统日志中有大量

TVNCSERVER尝试登录的日志.

2.png


解决方案

我们建议将下图中的kvnserver64文件结束进程后,改名即可

3.png

顺网网维大师



 通过检查发现网维大师是通过游戏效果上传进行注入的.

 

不法分子通过在使用客户端上传游戏接口,

伪造身份以及封包,

将上传文件修改为以下路径


 d:\网维大师\barserver\GameOpData\1592644237.rar\..\..\..\BarServer\TransferFilePatchEx.exe

的文件进行了溢出攻击。


所以出现问题的门店在

GameOpData文件夹下

会生成包含1592644237.rar类似的文件夹.


 如下图

1.png


其中..\代表返回上一级目录

..\..\..\代表回到BarServer目录下,

将目录下的TransferFilePatchEx.exe进行替换.

从而达到了溢出效果.

将目标文件替换为不法分子的TransferFilePatchEx.exe


2.png



替换后的文件还伪造顺网的签名

同时TransferFilePatch被修改了时间


3.png



服务器入侵结束后,

在服务器C盘windows目录下生成STUPDATE.EXE文件,

注册服务等工作.


入侵日志文件在此处下载

链接:https://pan.baidu.com/s/1yhHucL4uTh0Hs1FFIGwiPw

提取码:zsno



4.png


在log日志中可以看到上传的时间以及IP,

可以轻松定位不法分子.


解决方案

请等待官方解决

 

易乐游


在易乐游平台中也发现C盘

生成STUPDATE.EXE文件.

但是由于现场没有被保存,

我们只能通过日志来进行推测。

根据LOG发现生成STUPDATE.EXE的时间,

去查询当天关于STVNC的远程log日志,

该日志非常大。


有可能和云更新一样,

是通过破解或者是爆破VNC来达到侵入服务器端的目的.

所以推荐在易乐游官方正式说明前,

可以将以下服务进行关闭,来降低降低被入侵的可能性.


近期被入侵的朋友可以尽快联系易乐游工作人员,

这样可以在日志文件被清除前保留现场,

从而进一步确定不肖分子所使用的方法.

 

解决方案

我们建议将以下远程服务在官方没有给明确解决方案之前,

将此服务设置为停用状态.


5.png


安装杀毒的用户


安装火绒的用户因为杀毒软件的存在,

木马被释放之后就被查杀了,

所以达到了防御效果。

但是软件的漏洞还在,应尽快修补漏洞。

我们可以等待无盘厂商的专业人员对不法分子的客户端分析,

从而将已经安装的木马完全卸载掉.

在此之前,您点击下载

提取码:opyr

可以下载由维护大师技术A制作的清除木马批处理,

作为应急处理。

请注意(上传溢出的文件以及木马升级后可能生成的其他文件,

此批处理并未处理)


结语


可以看到此次入侵是对网吧行业非常了解的不法人员所为.


同时我们看到众多维护以及开发人员为了解决该问题加班加点,

在这里诸葛平台为门店奔波的您点赞.


目前已经有多个城市已经准确拿到线下不法分子的准确信息,并报告至网警.

结果如何我们拭目以待.

 

特别感谢运维人员黄海峰,小网虫提供环境

以及下面文章的撰写者

xiaocao提供珍贵的现场数据

捕获2020网吧入侵事件(STUPdater)

如果您有好的文章希望爱网吧(Www.Iwangba.Net)帮助分享和推广,猛戳这里我要投稿

  • 原文地址:诸葛平台
  • 温馨提示:文章内容系作者个人观点,不代表爱网吧对观点赞同或支持。
  • 版权声明:本文转载诸葛平台诸葛明亮版权归原作者所有,欢迎分享本文,转载请保留出处!
0

0
作者:clean
微信扫一扫
返回列表
上一篇:
下一篇:

发表评论中国互联网举报中心

快捷回复:

    评论列表 (暂无评论,共461人参与)参与讨论

    还没有评论,来说两句吧...