上一个让我这么害怕的,还是阿里云盘
昨天晚上,我的电脑锁屏了一段时间后,再打开时,发现几乎所有的软件都被打开了,还有很多陌生的窗口。
断网后检查系统日志,发现自10月23日之前的安全日志全被删了,后续的日志中还能发现三个陌生的用户名,分别是gongz, maruru, pieb,控制面板中还找不到,需要通过net user命令发现。
这些用户的操作基本都是迁移导出秘钥,以及访问各个软件并清除访问日志。然后又在计划任务中找到一个陌生的任务,详细信息为pythonw.exe sklearnhf.pyd
基本上可以确定中招了。。
于是连夜格式化硬盘后重装系统……
但我完全不知道怎么中招的,找不到那几个陌生用户的创建信息,姑且根据23号之前的日志消失推断,应该是在23号之前几天。只是10月份以来,我也没下载过可疑程序或者点击过可疑网站,风险最大的操作应该只有使用uu远程了。
大家有过类似的经历吗?这种lsass注入、多重后门、清楚日志的手段感觉好可怕,就像是一个劫匪在我家不知不觉呆了好几天……
有没有大佬支支招,怎么防范于未然?
断网后检查系统日志,发现自10月23日之前的安全日志全被删了,后续的日志中还能发现三个陌生的用户名,分别是gongz, maruru, pieb,控制面板中还找不到,需要通过net user命令发现。
这些用户的操作基本都是迁移导出秘钥,以及访问各个软件并清除访问日志。然后又在计划任务中找到一个陌生的任务,详细信息为pythonw.exe sklearnhf.pyd
基本上可以确定中招了。。
于是连夜格式化硬盘后重装系统……
但我完全不知道怎么中招的,找不到那几个陌生用户的创建信息,姑且根据23号之前的日志消失推断,应该是在23号之前几天。只是10月份以来,我也没下载过可疑程序或者点击过可疑网站,风险最大的操作应该只有使用uu远程了。
大家有过类似的经历吗?这种lsass注入、多重后门、清楚日志的手段感觉好可怕,就像是一个劫匪在我家不知不觉呆了好几天……
有没有大佬支支招,怎么防范于未然?
评论
@onion07 噗 是因为云盘会查看用户网盘内容么?
首先,在游戏论坛问这个不太合适。
其次,建议检查同一局域网的其他设备(手机、智能家居、NAS等),并修改所有密码
最后,配好防火墙规则,关闭所有连接,隧道等,不要暴露公网端口。
如果没干过别的,那么最大可能就是这种远程软件了…………
不过好奇你是存了啥,值得这么专业、针对性的入侵呢蛤蛤蛤
其次,建议检查同一局域网的其他设备(手机、智能家居、NAS等),并修改所有密码
最后,配好防火墙规则,关闭所有连接,隧道等,不要暴露公网端口。
如果没干过别的,那么最大可能就是这种远程软件了…………
不过好奇你是存了啥,值得这么专业、针对性的入侵呢蛤蛤蛤
防不了,发现就立马重装系统清理硬盘。
多养蛊
里面一定有黑客眼馋的资源
倒是可以看看sklearnhf.pyd里面是啥代码。
@little_guapi 
我逛的论坛也没几个,感觉就这最适合发了
我也很好奇自己怎么会成为目标,这种手法又不是广撒网。其实昨天有一次解锁也发现了几个奇怪的空白窗口,当时只以为某个软件崩溃了……
正因为知道没什么有价值的东西,才放心使用远控的,这些人也太饥不择食了吧
我逛的论坛也没几个,感觉就这最适合发了我也很好奇自己怎么会成为目标,这种手法又不是广撒网。其实昨天有一次解锁也发现了几个奇怪的空白窗口,当时只以为某个软件崩溃了……
正因为知道没什么有价值的东西,才放心使用远控的,这些人也太饥不择食了吧
如果是uu远程是怎么中招的?放陌生人操控了吗?我是关闭远程协助,只开自己手机允许远程。工作上确实需要别人远程时,都是全程盯着人家操作,结束后就及时关闭远程协助功能
真要搞你有无数种办法,只要你用操作系统就会有0day漏洞。大公司都没办法防范于未然,各种被黑客入侵勒索,你一个普通人咋防范……
要不参考国企的办法:用非windows操作系统,或者不连接互联网。
要不参考国企的办法:用非windows操作系统,或者不连接互联网。
怕是电脑中病毒了
@mr_t_you1217 没有陌生人操控,都是我自己的设备。因为日志也都删了,所以具体入侵方式是不明确的。
只能说最可疑的就是远控,并且23号那天,我在公司摸鱼远控的时候,家里的电脑突然死机了,也不是蓝屏,通过智能插座发现功率一点都不变,晚上回家后手动按重启按钮才恢复的。
所以怀疑就是当时被广撒网扫到了端口,利用了什么漏洞实现了注入,后续对可能有价值的电脑进行详细的探查
只能说最可疑的就是远控,并且23号那天,我在公司摸鱼远控的时候,家里的电脑突然死机了,也不是蓝屏,通过智能插座发现功率一点都不变,晚上回家后手动按重启按钮才恢复的。
所以怀疑就是当时被广撒网扫到了端口,利用了什么漏洞实现了注入,后续对可能有价值的电脑进行详细的探查
@wubs12345 确实,就像门锁一样,总有破解的方法。只是用了二十多年电脑,甚至是10年之前病毒猖獗的时候都没遇到过这种事,就觉得这种事理当离自己很远,真遭遇之后着实后怕
看了你的截图里打开的软件,里面是不是有 iis ? 如果有的话,应该就是远控被人入侵了,然后通过 iis 提权的。
他甚至先看了你的显卡配置才决定入侵的,估计是觉得你可能是有钱/挖矿佬吧。打开 steam 是看有没有可交易的值钱道具,其他的就看不清了。
最后没有清理痕迹就走了估计是因为费了老大劲一毛钱都没捞到,怒跑路
他甚至先看了你的显卡配置才决定入侵的,估计是觉得你可能是有钱/挖矿佬吧。打开 steam 是看有没有可交易的值钱道具,其他的就看不清了。
最后没有清理痕迹就走了估计是因为费了老大劲一毛钱都没捞到,怒跑路
有没有安装小红车 我这边最近好几个都是因为小红车中了木马
无杀软或是系统自带和火绒这些娱乐杀软最好开启最高等级的uac
无杀软或是系统自带和火绒这些娱乐杀软最好开启最高等级的uac
@crashcreator 有没有我也不记得了,截图我自己都看不清楚
这个截图当时是第一时间扔给ai想要分析下情况的,也没保存,发文的时候想配一张图,就去ai里找了下,只有这种清晰度了……
(突然想起当时还没断网,onedrive还开着,系统截图应该会自动上传,刚刚去找了下,果然还有清晰的备份,已重新上传。)
你的分析挺靠谱的,应该是等了三四天,终于抓到我长时间锁屏,乘机查看steam库存,决定后续的计划,幸好除了三百多余额外我一无所有
行为逻辑清楚后,感觉没那么可怕了
这个截图当时是第一时间扔给ai想要分析下情况的,也没保存,发文的时候想配一张图,就去ai里找了下,只有这种清晰度了……
(突然想起当时还没断网,onedrive还开着,系统截图应该会自动上传,刚刚去找了下,果然还有清晰的备份,已重新上传。)
你的分析挺靠谱的,应该是等了三四天,终于抓到我长时间锁屏,乘机查看steam库存,决定后续的计划,幸好除了三百多余额外我一无所有
行为逻辑清楚后,感觉没那么可怕了
@spudsl-hk 装是装了,但最近两年都没下过壁纸也没打开过
@shana0517 那估计是其他软件带来的 把uac打开吧 那个最高等级任何敏感操作都要用户同意
我也用uu远程,不过基本是工作机之间用,远程的应该是通过服务器连接的,不是p2p,应该不太容易破解,会不会uu账号密码泄露了更可能?
@gseal42 应该没有泄露,一直是短信验证码登录的,登录设备也就家里两台电脑和公司里自己的专用电脑,另外uu目前打洞成功后就变成P2P了吧……
不过话说回来,uu远程我感觉是目前用起来最舒服的远控,过段时间再继续试试
不过话说回来,uu远程我感觉是目前用起来最舒服的远控,过段时间再继续试试
没整个防护软件么 太吓人了
防患于未然,也最多就是在你的网络进出口端都上防火墙,加上权限管理,不过这么干没准更容易吸引攻击,让人怀疑你计算机里有很重要的数据
杀毒没起效?
@ptzmelkor 楼主应该没用正规的 系统自带和火绒都是娱乐杀软 病毒木马防不住 注册机类一杀一个准
回复不能