前天晚上也就是2020.7.15号,有些人反馈开机就会弹如下图的界面:
网吧环境多方面的,有的取消开机命令里的领航就正常了,另外的其他无盘的是去了浏览器的开机命令就好了,然后15号那天又突然全部正常了。
昨天晚上又有2个人反馈了,一个是之前服务器用的3389远程的,发现客户机上的开机启动里多了个360浏览器的图标,挂盘删除这个360浏览器的执行文件就正常了,其实这个不是真的360浏览器的,是2020.1.9号就在里面的。
客户机上进程里还会多出dbntcli.exe进程,用户根本没有用深蓝的,另外的用户那也发现了这个进程的。
1.9号的还原点,这个不是他操作的。
原因应该是之前3389远程被破解黑进了服务器操作的。
另外的用户是QQ网吧客户端里被人修改了文件了,服务器是用的VNC远程,这个VNC远程去年就遇到被黑的事件的。
- 解决方法:
把开机启动项或开机批处理加的东西给删除就能恢复正常,注意:由于服务器上的远程被攻击了,建议马上执行如下措施:
1.马上换远程工具 (如果用第三方远程工具建议先暂时关闭,用无盘软件平台提供的远程)
2.修改远程管理的账号和密码以及端口等!
3.修改服务器账号以及密码等安全策略
4.加了第三方开机通道的建议先停用观察
