服务器维护安全篇:
服务器感染PittyTiger木马病毒,黑客就可以从服务端远程控制用户的计算机,偷取用户资料、任意安装程序、通过键盘记录获取用户各种密码,随意地控制你的计算机等等。电脑虽然是你的,但是使用的人不是你一个。
PittyTiger木马病毒由母体和后门两部分组成,母体负责对抗杀软和释放后门部分; 而后门部分负责连接服务端,接受服务端指令。
母体执行后会在系统中查找杀毒软件相关进程,如AVP.exe.如果发现此类进程,会将系统的beep.sys文件替换成自己的文件,重新启动该服务,检测和恢复系统的SSDT表。
PittyTiger木马病毒表现形式:
1、用释放的文件替换系统文件。
2、在sys文件中,恢复SSDT表中的地址项。
3、在system32目录中释放后门客户端程序packet64.dll,通过在explorer.exe进程中创建远程线程,将此文件注入到explorer.exe进程中。
这时后门客户端已经成功上线运行。
客户端上线后首先会收集Computer Name和C盘的Volume Serial Number,通过以下格式提交到服务端,Buffer中为提交的数据,返回客户端程序信息。
客户端接受的命令主要有以下几个:
1、Get命令:获取客户端的指定文件文件,如get c:\a.exe。
2、Put命令:命令客户端从网络下载文件,如 put c:\a.exe,下载文件保存为c:\a.exe 。
3、Strpd2和prtsc命令:分别获取16bit和8bit的屏幕截图。
4、Version命令:获取客户端版本。
5、Ocmd命令:启动客户端cmd,获取shell。
6、Setserv和freshserv命令:重新设定服务端地址。
目前各类木马多种多样,朋友们应及时更新杀毒软件的病毒库,及时升级杀毒软件,以保证计算机的相对安全环境。
更多内容见彩圣科技服务器维护解决方案!
◆电话受理中心(用户综合窗口)
为了给广大客户提供更优质、快捷的网站维护服务,在中国业界率先设立了全天候服务式的电话受理中心,并始终坚持“快速”“准确”“亲切”的服务理念。走过风雨兼程的10年,我们尝尽酸甜苦辣,但是为客户服务的心,却一刻也不曾停歇,为了您的欢笑,我们仍将继续前行。
◆全国统一免费网站维护电话:400-670-5808(支持任何用户拨打)邮箱:xieaijiao@cdsheji.com QQ:284888576
◆营业时间:365天·24小时,年中无休。
◆对应业务:与网站维护有关的任何商谈和咨询(网站维护、网站修改、网页修改、网站安全、网站杀毒、网站中毒、网站备份、网站恢复、网站备案、网站建设、技术咨询、网站域名、网站空间、企业邮箱等)
