A-A+

【警告】网吧服务器中了STupdater.exe的来源:警惕不法分子从内网入侵服务器!

2020年06月23日 问题知识 评论 1 条 阅读 3,219 次

近期我们接到了多家门店反馈被入侵的问题,经过分析以后,我们判断此次入侵是有不法分子通过多种渠道,对门店实施违法犯罪活动.目前有在QQ群,微信群中,有技术人员发现有不法分子通过线上招募的方式,安排不法人员前往门店使用客户机攻击服务器.

如有发现被入侵的用户,可以根据C盘STUPDATE.EXE所生成的时间,定位对应的上机人,并查询该用户的身份证举报至网警处,避免更多的门店受到损害.

如果你本地网警未受理,可以在http://www.cyberpolice.cn/wfjb/进行网络举报,最大限度震慑犯罪分子.

以下平台漏洞皆根据日志以及病毒文件样本推测所得结论,

并未获得原始入侵工具,

故有可能与真实情况有出入。。。

特此说明。

我怎么确定服务器中了这个木马?

1.目前已知的远程控制木马服务名称为“FastUserSwitchingCompatibility”,不排除后面会变化。
打开cmd,输入 sc query FastUserSwitchingCompatibility 查询这个服务是否安装,如果显示“指定的服务未安装”,暂时可认为安全。

2.搜索C盘下是否有STupdater.exe文件,一般在C:\Windows\或C:\Windows\syswow64或C:\Windows\system32下,如果有表示中招,还要检查服务器启动项.

3.在C:\Program Files (x86)路径下,生成了文件夹 Mount

4.据说今天服务名称已经变种,改变了,建议检查服务器开机启动项。

5.使用专杀工具检测

目前我的网吧都没中招,昨天问询了大约十几个人这里的协议没卸载,我都是装好服务器就卸载的,仅供参考

20200623085423

据说Windows Server 2019不能卸载,将这一项的勾去掉即可。

云更新

云更新平台发现被入侵时,服务器的日志记录中发现客户端使用了爆破或破解VNC远程的方法连接至了服务器。

同时在服务器C盘windows目录下生成STUPDATE.EXE文件,注册服务等工作.

下图为STUPDATE.EXE释放时同一时间的服务器VNC日志

ScreenShot2020-06-23-1

系统日志中有大量TVNCSERVER尝试登录的日志.
ScreenShot2020-06-23-2

解决方案

我们建议将下图中的kvnserver64文件结束进程后,改名即可
ScreenShot2020-06-23-3

顺网网维大师

通过检查发现网维大师是通过游戏效果上传进行注入的.不法分子通过在使用客户端上传游戏接口,伪造身份以及封包,将上传文件修改为以下路径

d:\网维大师\barserver\GameOpData\1592644237.rar\..\..\..\BarServer\TransferFilePatchEx.exe

的文件进行了溢出攻击。

所以出现问题的门店在GameOpData文件夹下会生成包含1592644237.rar类似的文件夹.

如下图

ScreenShot2020-06-23-4

其中..\代表返回上一级目录

..\..\..\代表回到BarServer目录下,将目录下的TransferFilePatchEx.exe进行替,从而达到了溢出效果.

将目标文件替换为不法分子的TransferFilePatchEx.exe

ScreenShot2020-06-23-5

替换后的文件还伪造顺网的签名,同时TransferFilePatch被修改了时间

ScreenShot2020-06-23-6

服务器入侵结束后,在服务器C盘windows目录下生成STUPDATE.EXE文件,注册服务等工作.

入侵日志文件在此处下载

链接:https://pan.baidu.com/s/1yhHucL4uTh0Hs1FFIGwiPw

提取码:zsno

ScreenShot2020-06-23-7

在log日志中可以看到上传的时间以及IP,可以轻松定位不法分子.

解决方案:

关于利用网维漏洞的处理方法
1、在BarServer目录下,将TransferFile.dll进行改名,改成TransferFile.dll.bak
2、在BarServer目录下,将TransferFilePatchEx.exe进行改名,改成TransferFilePatchEx.exe.bak
3、删除C:\Windows\STUPdater.exe
4、重启BarServer.exe

顺网公司已经开始推送安全补丁解决此次安全问题--2020.06.23下午18点

来自顺网官方。

易乐游

在易乐游平台中也发现C盘生成STUPDATE.EXE文件.但是由于现场没有被保存,我们只能通过日志来进行推测。根据LOG发现生成STUPDATE.EXE的时间,去查询当天关于STVNC的远程log日志,该日志非常大。

有可能和云更新一样,是通过破解或者是爆破VNC来达到侵入服务器端的目的.所以推荐在易乐游官方正式说明前,可以将以下服务进行关闭,来降低降低被入侵的可能性.近期被入侵的朋友可以尽快联系易乐游工作人员,这样可以在日志文件被清除前保留现场,从而进一步确定不肖分子所使用的方法.

解决方案

我们建议将以下远程服务在官方没有给明确解决方案之前,将此服务设置为停用状态.

ScreenShot2020-06-23-8

安装杀毒的用户

安装火绒的用户因为杀毒软件的存在,木马被释放之后就被查杀了,所以达到了防御效果。

但是软件的漏洞还在,应尽快修补漏洞。

我们可以等待无盘厂商的专业人员对不法分子的客户端分析,

从而将已经安装的木马完全卸载掉.

可以下载由维护大师技术A制作的清除木马批处理clean.bat,作为应急处理。

请注意(上传溢出的文件以及木马升级后可能生成的其他文件,

此批处理并未处理)

如果可以,猛烈猛烈建议重做服务器!!!

结语

可以看到此次入侵是对网吧行业非常了解的不法人员所为.

同时我们看到众多维护以及开发人员为了解决该问题加班加点,

在这里诸葛平台为门店奔波的您点赞.

目前已经有多个城市已经准确拿到线下不法分子的准确信息,并报告至网警.

结果如何我们拭目以待.

特别感谢运维人员黄海峰,小网虫提供环境以及下面文章的撰写者

xiaocao提供珍贵的现场数据

本文转自诸葛平台公众号:https://mp.weixin.qq.com/s/JvdcCCdIZoe0WQL_IG3j3g

落英缤纷技术交流群

1 条留言  访客:1 条  站长:0 条

  1. 头像 孤独爱恨

    很正常现在远程入侵才是他们最常用的

给我留言

Copyright © 落英缤纷 保留所有权利 · 基于 WordPress   联系站长 落英缤纷技术交流群 托管于腾讯云 冀ICP备12002422号-3

用户登录