今天14点的时候,有位用易游的朋友联系我们,他的易游开机批处理被人非法的加入了svchost.exe,我在15.30后看到回复了他一下。
他发现他的易游被人未经允许加载了 svchost.exe,最后基本确认是因为远程被人入侵后添加的。
放的这个程序导致这位网维兄弟的游戏卡,网页慢。
可能和上次深蓝分析的一个针对网吧的黑产团伙所为,说细请看上次的文章:
http://slsup.com/post/318.html
在这里郑重提醒大家一定要注意网吧远程的安全,最近实在有太多网维朋友被入侵,特别是映射了端口后的3389,radmin,vnc。
建议如下:
1,近期发现多例 网吧3389(主要是3389,radmin只发现两例,VNC一例)被入侵。主要是通过3389等开放的外网端口进行漏洞入侵,与,弱密码扫描。
2,解决的办法可以安装DBNT最新版,进行云端远程(sLyun.com) ,这个远程在你未登录使用的时候,是停止远程进程的,没有进程,没有端口,也不需要映射端口,不可能被扫描和入侵,更安全也更省资源。同时该远程不需要映射端口,对于ADSL等动态IP也能很好的支持。
3,如果你不愿意使用DBNT的三层远程,强烈建议使用与DBNT云端三层远程一样的 teamviewer 或者 向日葵 等通过服务器中转的远程。
4,如果你不想使用任何第三方远程,坚持使用3389和radmin等直连远程,请立即 a,打全所有系统补丁;b,更改默认端口 ; C,修改一个复杂的密码有大小写混合加数字加特殊符号。
广告时间:
下面这个是我们网吧收银员的公众号二维码,她主要想发些网吧的搞笑的事和自己的一些心情,希望能加一些志同道合的朋友,属于玩票性质的。请已婚的网管、网维兄弟千万不要加她,谢谢。
