随着信息技术的高速发展,互联网已经融入到生活的方方面面,网络安全问题成为社会大众关注的热点。金融、电信、电商成为网络安全的重灾区,电话诈骗、网购骗局屡见不鲜。
网吧作为数亿网民链接互联网的重要场所之一,网络安全问题不容忽视。从去年以来,网吧网络安全问题频现,大到恶意挖矿、勒索病毒,小到双杀漏洞、Steam盗号……网络安全已经严重影响到了网吧的正常经营和服务体验。
2018年9月17日-23日,“国家网络安全宣传周”将在全国展开。此次活动以“共建网络安全,共享网络文明”为主题,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动,旨在营造网络安全人人有责、人人参与的良好氛围。
作为辐射全国五万家网吧,日均覆盖2500万用户的网吧娱乐平台,我们深知责任重大。
然而事实上,我们也一直致力于推广和普及网络安全知识,提高网吧运营维护人员安全意识,保障网吧业主及用户权益。比如不断完善易乐游产品安全中心功能,为网吧场所免费提供恶意挖矿清查服务,宣传病毒与漏洞防范措施等等。
尽管易乐游的网吧安全防护功能已经非常健全,开启局域网及客户机防护功能后能够最大限度杜绝非法网络入侵和攻击,但部分用户因为安全意识不强,还是为不法分子提供了可乘之机。
下面我们将通过几个典型案例,再跟大家聊聊网吧安全那些事儿:
1、ctfnon.exe广告木马
问题描述:
有一段时间ctfnon.exe广告木马在网吧肆意传播,通过技术员排查发现ctfnon.exe是广告木马,其采用相似的进程名假冒输入法相关程序(输入法相关执行程序应该是ctfmon.exe)。
通过排查发现,是有不法分子远程篡改了系统包挂载。这个团伙挂载镜像,一般放了3个文件:C:\Windows\SysWOW64\client.exe;C:\Windows\System32\client.exe;C:\Windows\System32\ctfnon.exe,然后通过regedit加载注册表添加了开机启动C:\Windows\SysWOW64\client.exe。
解决办法:
①修改远程账号和密码(开启远程日志记录,留意最近是否还有不明人可以远程上来)
②挂包删除以上3个文件,去掉开机启动。
2、客户机随机蓝屏或卡顿
问题描述:
磁盘服务重启的规律,没有固定的时间点,时间间隔也没有规律。磁盘服务重启前后一段时间,服务器系统没有任何异常,也没有任何报错。
排查过程:
路由器、服务器、交换机,全部都换过依次排查,没有找出原因。接着用死办法上PM抓信息,在网吧蹲守的两个小时,磁盘服务重启了三次,第二次的时候,开启了PM,于是终于找到凶手。
从上图中我们可以看到,磁盘服务的进程是被系统命令taskkill结束掉的,它的父进程ID是2476,就是CMD命令,那么我们看2476的父进程。
2476的父进程竟然是影子的主进程,难道是影子杀无盘的磁盘服务?最终怀疑可能是被黑了,于是马上看影子的日志,果然,一直都是同一个IP连上影子的telnet发送结束磁盘服务进程的命令,导致磁盘服务重启。
至此,问题已确认,只用更改远程的端口、用户名、密码等信息就OK了。
3、浏览器页面跳转赌博网站
问题截图:
排查步骤:
①使用PCHunter64、Procmon、procexp三个软件检查都没有发现异常dll文件
②检查服务器开机启动项和客户机开机启动项没有异常程序
③客户机使用基础包测试问题依旧,排除收费等第三方软件
④客户机基础包的环境下开超级问题依旧,怀疑路由器,同时网吧也联系到了路由器技术员,技术员第一句话竟然是路由器改密码没?!
⑤网吧打开路由器登录帐号密码提示密码错误!问题确认。
通过以上案例,我们不难发现,网吧被入侵的问题往往都是通过远程工具进行的。不法人员入侵远程工具,然后通过挂载服务器镜像等方法植入广告程序合并到系统包中,或者是在开机批处理中加入执行某些恶意程序,当你打开看批处理查看时乍一看是空的,什么也没有,其实真正的内容被顶到批处理最下方了不容易发现而且进行了加密。
易乐游温馨提醒:
网吧远程等密码越少人知道越好,建议使用各大官方推荐的方式,毕竟他们能提供持续的售后保障。
1、使用TTVNC这类的远程工具,建议临时远程维护时单次使用,不使用的时候建议退出TTVNC。
2、radmin、3389远程、RemotelyAnywhere、teamviewer、xt800等各类远程, 密码要注意防止泄密,可自己设置复杂的账号密码,有泄密可能后记得修改密码。现在一些平台为了维护方便都集成了远程,一般自动的机制安全度比人为设置要高的多,因为每隔几个小时密码都随机变在。
3、习惯radmin、3389远程、RemotelyAnywhere等各类远程的用户切记将自己端口改为不常用的,不要用默认的,并且帐号密码尽量复杂一点,定期更换。或者使用官方推荐的方式,各平台集成远程,远程密码谁都不知道,密码本身不存在泄密的可能,只要保护好后台的账号密码即可。
4、如果发现有这种情况出现了,请第一时间修改有相关权限的账号密码。筛选可能泄露的途径,并检查系统日志或是系统远程工具的LOG日志看是否有被入侵过的信息。