今日接到多例反馈服务器被入侵的问题,服务器系统2022,2019的都有,设置了windows的强密码,并且在第一次被入侵之后都修改过windows密码,结果还是有二次入侵痕迹
问题现象1:
服务器被入侵,系统日志和应用日志被清除干净
无盘上面的开超级,修改镜像,服务器重启等操作会通过公众号推送的首先关闭
客户机挂包放了一个启动项文件,nvcontainer.exe,该进程会导致客户机内存或者cpu占用高
问题现象2:
服务器被入侵,系统日志和应用日志被清理干净
服务器上面新增一个network相关的服务,该服务会运行一个exe程序,通过火绒可以杀掉
目前看到的几例入侵都是服务器设置了高强度的密码,并且通过入侵之后服务器密码并没有被修改,这就不是传统的入侵手段可以去避开的
目前发现所有的入侵都是通过
计算机名为:WIN-PVS6A3CIBR IP地址:116.232.220.238
的计算机通过网络成功登录服务器,这几台被入侵服务器的特征全部是路由器加入到了路由器的云端,然后通过跳转连接,之后利用windows的漏洞远程上
文章最后还是提醒各位不要将电脑暴露在公网之下,服务器装好杀毒软件,不要裸奔
最后的最后,如果你发现自己的网吧正在遭受黑客入侵,请拿起法律的武器维护自己的合法权益
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
终于找到问题了 ,路由里先关闭这个功能吧。
