服务器后门(密码面板)
仅供参考如何检查是否感染了这种后门(密码面板)
使用VSCode打开整个服务器文件夹(包括server、resource等),在左侧的搜索面板中搜索\x,限定.lua文件,若看到下图所示的混淆代码,那么大概率你的服务器已经被密码面板感染。注:下文所称的“后门”,均代指密码面板这一种后门。
后门的危害
随意操作服务器上的文件、获取服务器秘钥、SQL密码、执行远程代码等。
如何清除后门第一步
完全关闭FXServer,不只是在txAdmin停止服务器,而是关闭整个CMD窗口。
第二步
将上面搜索到的代码整行删除(VSCode快捷键:Ctrl+Shift+K),注意辨别并非所有包含\x的代码都是被混淆的恶意代码,如下图所示,就是包含\x的正常代码。
第三步
使用VSCode打开整个服务器文件夹(包括server、resource等),在左侧的搜索面板中搜索PerformHttpRequest,限定.lua文件,如果看到类似下图红框标注的代码,删除它。同样的也并非所有使用PerformHttpRequest的代码都是恶意代码,此函数也经常被用在检查插件更新等目的,这需要你有一定的编程基础,相比上面的\x辨认难度更高。
第四步
完全删除文件夹内的所有文件,并从 https://github.com/citizenfx/cfx-server-data 重新下载。
第五步
编辑C:\Windows\System32\drivers\etc\hosts文件,在文件中添加如下内容
127.0.0.1 cipher-panel.me
127.0.0.1 ciphercheats.com
127.0.0.1 keyx.club
127.0.0.1 dark-utilities.xyz
127.0.0.1 0resmon.net
127.0.0.1 triggerserverevent.net
第六步
启动服务器,并再次搜索\x,观察是否仍然存在资源被加入恶意混淆代码的情况。
为什么会感染后门
你使用了带有恶意代码的资源,这种资源通常存在于泄露网站上。
如何防范后门
很简单,不贪小便宜,只从可信的渠道获取资源,如Cfx论坛、Github、5mods,下载插件后不要直接使用,先看代码,必须要开源。
页:
[1]