分享一例网吧被入侵的案例

网吧出现的问题：客户机偶尔随机蓝屏，或者卡一下
排查过程：
1、一开始以为是内网的问题，更换了所有交换机后还是一样。（路由器也换了个）
2、检查服务器，发现服务器的日志记录出现磁盘服务停止又运行的记录。
3、升级无盘软件的版本，问题一样，而且感觉对客户机的影响更大了。
4、从正常运行的网吧对换服务器过来，磁盘服务还是重启。

再说说磁盘服务重启的规律，没有固定的时间点，时间间隔也没有规律。磁盘服务重启前后一段时间，服务器系统没有任何异常，也没有任何报错。

到这里，小结一下，路由器、服务器、交换机，全部都换过了，就是无盘软件没换了，是不是就是无盘软件的问题呢？
于是找客服，客服联系研发，也没看出什么毛病。
绝望之下，就想着用死办法了，上PM抓信息了。在网吧蹲守的两个小时，磁盘服务重启了三次，第二次的时候，我开启了PM，于是终于找到凶手了。请看下面的分析。
先上图

这张图可以看到，磁盘服务的进程是被系统命令taskkill结束掉的，它的父进程ID是2476，就是CMD命令，那么我们看2476的父进程

2476的父进程竟然是影子的主进程，难道是影子发疯了杀无盘的磁盘服务？这么2的想法出现后，我整个人也变2了，幸好得搞人提醒：是不是被黑了？
于是马上看影子的日志，果然，一直都是同一个IP连上影子的telnet发送结束磁盘服务进程的命令，导致磁盘服务重启。

至此，问题已确认，只用更改远程的端口、用户名、密码等信息就OK了。
那么，大家对于这个问题怎么看呢？网吧为什么会被黑？为什么那个做不好的事情的人总是用同一个IP？为什么他会知道远程的端口密码等信息？

厉害了厉害了。