« »

Pubwin控制台ping服务器掉包(丢包)

从四月十几号以来,老是有网吧Pubwin控制台有几率连不上Pubwin后台服务器,丢那边不管他也就好了,用起来又不行。开始看到一家这样,只认为是自己网吧原因,也就没太去深究,只是重做了系统,可是当发现好些网吧都这样以后才知事态严重了。

下面原引“上海新浩艺”公司在其论坛上发布的帖子“【官方公告】关于病毒引起的控制台、客户端连接不通服务器的问题

尊敬的网吧业主、网络管理员:

  您好!

  我公司自四月十二号下午陆续接到全国不同地区网吧老板和代理反映客户机连接不上服务器的问题。我们紧急安排人员排查,发现连不通的情况下ping命令也不能连接,确定是由于网络不通引起的,排除软件本身问题,再到网吧实地排查,于15日取得病毒样本。主要情况如下:
  问题出现后现象:
  1. Pubwin客户端和控制台无法连接上Pubwin服务器,此时通过ping命令发现客户端和控制台ping向服务器的包都提示:Request timed out. ;(注:控制台提示连接服务器失败,客护端开机后一直显示红色叉,登陆提示:客户端不受管理状态)
  2.从服务器ping向控制台和已经开启的任一客户机都是通的;
  3.客户机相互任意双向ping都是通畅;
  注:在控制台和客户端ping服务器过程中发现,通常情况下,ping的结果是时断时续,一般会丢失十五个ping包以内就会在不做任何操作情况下就会自动恢复通畅;少数网吧会持续一个小时以上;
  排查结果:
  经过几天全公司调查以及网吧的反应,我们已经成功提取了病毒样本,其中包括如下程序:
    1.abc.exe;2.7bNbgw.exe;3.Procmon.exe;4.sfc.exe;
    5.winhost.exe;6.HostService.exe;7.xs.exe;8.lsn1.exe
  此程序会从lsn1.exe慢慢涨到lsn25.exe.经过我们的高级底层驱动工程师脱壳分析这些几乎全部是木马程序,其中包括:
    a) QQ盗号木马;
    b) 游戏盗号木马;
    c) socket5代理(木马),可以反向找控制端通过端口发送数据,从而中断正常数据;
    d) 截包发现有篡改本机出去的数据的mac地址的行为;
    e) 使中毒机器成为“肉鸡”任意控制。
  总结:此次事件是病毒的蔓延所引起的,该批病毒能引起三个方面的后果。一是盗号;二是破坏计费软件的正常工作;三是使中毒机器成为“肉鸡”。
  这批病毒我们已提交上海市**局,并报案。
   我们还在对病毒进一步的分析,为解决或减少病毒对网吧的影响,希望网吧能做如下的处理:
    1.升级Pubwin 2009新的版本(4月19日后的版本增加了相关处理);
    2.关闭客户机135,137,138,139,445端口或停用共享服务(server);
    3.升级微软4月13日发布的安全补丁
(http://blogs.technet.com/b/gcrsec/archive/2011/04/13/20110413-4-13-17.aspx);
    4.有带网管型的交换机对服务器进行Mac绑定。
  解决该问题的版本使用网吧自身的注册号登陆即可进行下载。若某些地区无法下载到版本请联系当地代理商。

个人认为,文中提到的现象是真的,结果我也是相信的,只是解决办法除了交换机里绑定以外其他的,多少有点牵强。本人粗浅的分析,这次病毒无非是欺骗了交换机,用他虚拟出来的物理地址来接受数据从而篡改到其他机器的数据。暂时来讲,我没有什么动作,只是绑定了交换机里的MAC,篇幅太长了,过程看下文

日志信息 »

该日志于2011-04-29 13:43由 ctusky 发表在 网吧 分类下, 通告目前不可用,你可以至底部留下评论。
如需转载烦请添加以下信息: 本文转自www.ctusky.com
如喜欢这篇文章或者本站,建议您RSS订阅本站,以及时地获取更多精彩内容!

相关日志 »

看过本文的人还看过 »

没有评论

发表评论 »

返回顶部