下午三点钟,客户的电话像颗炸弹一样砸过来:“你上次修的电脑,出大事了!”语气里满是质疑,搞得我一秒变“嫌疑人”。毕竟,前几天帮她远程过一次,远程软件的密码只告诉过我一个人呀,出了问题,黄泥巴掉到裤裆里了。客户是在国贸大厦现在这边又无法脱身,财务小姐姐声音里带着点惊恐:“中午我睡个午觉,微信居然自己跟别人发文件聊天!手机在旁边充电,我碰都没碰,吓死人了!”
6 X% Q7 |4 D( z' f; W: l1 ?( q0 S3 u/ x$ y+ _$ B2 p, r2 ?7 F5 j# B
, e# n9 p% a+ ]; q我心想:麻烦了,电脑中毒了。
+ { D n, b7 q7 L% r' M) Z+ \第一步:电话“排雷”,结果隔行如隔山为了洗清嫌疑,我先试着电话遥控指挥,让她检查几个关键点:任务管理器、后台进程、最近的网络活动……可没聊两句我就发现,隔行如隔山,财务小姐姐完全抓瞎,描述得云里雾里。没办法,远程接管吧!挂上 ToDesk(我常用的远程工具,海外才用自建的服务器),一头扎进她的电脑。
% O' h. @9 |, m* F! _; H. r& D- O7 Z( ]; N. G" j; c6 E1 M
第二步:进程排查无果,服务里找到“可疑分子”$ X* ]$ \) Z( I* J% N8 z1 J6 y5 o
登录后,我先扫了一遍任务管理器,进程列表里没啥明显可疑的家伙。接着检查服务列表,果然发现了两个陌生的服务,名字看着就不对劲,像是临时起意的“马甲”。我试着停掉它们,结果这俩货跟打了鸡血似的,立马又自动强制启动了!
+ j; r# \: _9 D, Y" h
7 y% s% m" i2 K# L% l# Z这台电脑是财务专用的,装了一堆 U 盾和银行控件,乱停服务风险不小——万一搞错,银行系统登不上去,我又得背锅。没办法,先把这两个服务禁止掉,暂时锁住它们的“作案通道”。. i: n, D0 _0 M) i4 U9 \- h6 O4 F
& ~$ m; ^- j4 G6 D& t
第三步:日志深挖,VNC“现形”
" t" o2 S7 w. ]% B/ W6 S) j服务暂时搞定,我转头去看系统日志。这一看不得了,日志里赫然记录了几条 VNC的调用痕迹,时间点正好对上财务小姐姐午睡的那会儿!* P# I/ E) g2 @# g; N0 R% P. T% s
: g8 E: T. j5 e% E7 L
问题来了:这台电脑我从没装过 VNC。我远程喜欢用 ToDesk,海外才用自建方案,VNC 压根不是我的风格。更关键的是,日志显示 VNC 调用失败了,但程序痕迹被清理得干干净净,像是黑客“作案”后擦了屁股就跑。# }2 a( j( L2 _ K* w# I, m( {
好消息是:不是 ToDesk,嫌疑洗清! 坏消息是:这明显是被入侵的节奏。问题并不大,因为IT架构是我做的,有比较完善的容灾机制,即使这台电脑丢掉也没太大关系,重要文件在服务器上,即使入侵者删除了服务器上的文件 也没关系,还能恢复,所以问题不大。2 _- Y% q+ U% M* r2 b' Z! z& a
* n s; `& z! i4 b第四步:检查活动的网络联接找到出去的IP和端口。9 g. K. ~. z* d8 }. q
* @3 a2 c& A8 a( }9 S/ k
找到异常的网络连接,指向一个陌生的 IP 地址和端口。- i# _1 G5 P/ G, [7 k
顺着这个线索,我又查了活动的网络连接,果然找到一个可疑的 IP。继续深挖,发现异常服务对应的程序在进程里居然“隐身”了,像是被杀毒软件干掉或隐藏了。翻了安全软件的日志,也没找到被隔离的痕迹,估计加壳隐藏了进程,要找到只是时间问题,并不难,杀毒不是重点,复盘才是。0 k1 p2 y! q4 ?) q/ W0 ?4 N
4 y! w1 O E8 t* |
4 O4 h8 T8 U: y/ i7 z/ h+ ]( X- b
第五步:注册表“破案”,黑客忘了擦屁股$ V+ [, |3 U) f# E Y6 J7 A. C
不死心,我又钻进注册表,定位到可疑服务的目录。黑客跑路时忘了擦干净尾巴!注册表里残留了线索,指向某个目录,找到这个目录发现自动生成程序又自动删除程序,这说明病毒还在跑,只是藏得深,我远程操作总不能把系统搞崩溃,就能让子弹再飞一会儿,其实查杀病毒是个很容易的事,但要复盘就没这么容易了。现在的系统相对20多年前安全多了,那时我经常在WIN98 2000 XP 2003上手搓病毒的,一个一个找出来掐死。其实我以前也跟着中国红客混了几天的,天天在网吧搞通宵,等着群主发工具,扫日本的IP,那时有什么朔雪,流光等等,随便给你几个工具,一天都能扫几十台服务器漏洞,一天进个几台服务器很容易,那时的操作系统漏洞太多,后来被公司老板发现把我狠狠的骂了一顿,这个是要吃牢饭的,再就没沾边了,所以这些道道我多少还是懂一点的。高手来无踪去无影,一般不会留痕迹,也不会轻易动你什么东西,走的时候一个批处理把用过的程序全部删除掉,还不过回收站的那种。这个财务小姐姐碰到的是个网络诈骗犯,警察要立案的话,应该不难抓到人。当然这个IP可能只是个肉鸡,一个跳板,多跳几次,基本上无解,你总不能跑到海外人家的服务器上去查日志吧。
+ u* d8 G( Q x' M" p
6 H& e* b" x7 z1 {
* }* K* L, N2 c d* q8 z
" a7 W/ s, x4 V, d6 Y
注册表找到蛛丝马迹 定位文件位置 $ D- M% w! I$ [" W7 A& K
' d `7 `, H, e9 L5 b u; e# M# r- e0 X( ~1 v4 N
确定到某个程序 U) r2 [8 ^. b! D. j B
第六步:保全证据,报警待援
7 G2 m" g; G3 a+ W9 t' |我的首要目标已经达成:证明这锅不是我的! 但问题还没完,病毒还在,客户电脑不能继续当“定时炸弹”。我赶紧让财务小姐姐把日志打包发给我,妥妥保存——这可是“呈堂证供”。然后拔掉网线关机。* x* m# ]9 }9 m( K# o) o
我建议她立刻报警,毕竟黑客入侵不是小事。出去的 IP 和端口我都帮警察找好了,这台电脑留作证据,明天再送一套新系统过去,彻底解决问题。9 v8 Z0 j' W e7 S# P; M5 I$ H
* i2 ^0 X% e. `5 m8 P) t, R# N9 T一个是WINDOWS日志 一定要保存好
4 ~5 F7 Y$ B& R, e) R) L6 I$ _, G
一个是定位的程序的日志,这货居然还留有日志,入侵者走的时候没清掉 ) O* `1 e9 V/ J
尾声:群链接惹的祸?1 k, K9 e3 c% }
最后网上查了一下这个文件,发现四月别人也有相同的案例,估计就是 4 月 29 号点了个微信群里的链接,下载运行了,360无法查杀,之后电脑就有点不对劲了,不少恶意程序可以免杀躲过大部分安全软件,估计就是那时候中了招,白天财务一直在使用电脑,入侵者没敢远程操作,只敢中午判定财务午睡了才敢操作,下班又关机了,他又联不上,但这次的“新型病毒”显然有点狡猾。
% r1 _1 Y' S/ X! ?1 |. |6 k# ?2 n# s
# i/ ]) b& ~, r6 B4 k1 U- D2 }
5 @0 J/ w, i. y7 E! Z) ]$ }4 \7 C$ m6 H6 l% t" A2 c
0 g$ h% P- B+ R. Z, `" j" X
% V6 [6 J! T {4 V" J/ N/ ^, D |
|手机版|赛格电脑 华强北 电脑城 南山赛格 龙岗电子世界 龙华电脑城 沙井电脑城 松岗电脑城 pc4g.com
( 粤ICP备16039863号 )
发表于 2025-6-6 13:22:37
