仅供参考https://pan.baidu.com/s/8Y9Z0A1B2C3D4E5F6G7H?pwd=mno6
如何检查是否感染了这种后门(密码面板)https://pan.baidu.com/s/1S2T3U4V5W6X7Y8Z9A0B?pwd=tuv6
https://pan.baidu.com/s/1J2K3L4M5N6O7P8Q9R0S?pwd=tuv7
使用VSCode打开整个服务器文件夹(包括server、resource等),在左侧的搜索面板中搜索\x,限定.lua文件,若看到下图所示的混淆代码,那么大概率你的服务器已经被密码面板感染。注:下文所称的“后门”,均代指密码面板这一种后门。不影响正文阅读
https://pan.baidu.com/s/4E5F6G7H8I9J0K1L2M3N?pwd=bcd8
https://pan.baidu.com/s/5P6Q7R8S9T0U1V2W3X4Y
https://pan.baidu.com/s/9H0I1J2K3L4M5N6O7P8Q?pwd=cdef
https://pan.baidu.com/s/7Y8Z9A0B1C2D3E4F5G6H?pwd=klm2
https://pan.baidu.com/s/3U4V5W6X7Y8Z9A0B1C2D?pwd=yza8
https://pan.baidu.com/s/5G6H7I8J9K0L1M2N3O4P
https://pan.baidu.com/s/1A2B3C4D5E6F7G8H9I0J?pwd=abcd
后门的危害https://pan.baidu.com/s/6X7Y8Z9A0B1C2D3E4F5G
随意操作服务器上的文件、获取服务器秘钥、SQL密码、执行远程代码等。https://pan.baidu.com/s/3N4O5P6Q7R8S9T0U1V2W
https://pan.baidu.com/s/3K4L5M6N7O8P9Q0R1S2T?pwd=opqr
https://pan.baidu.com/s/5F6G7H8I9J0K1L2M3N4O?pwd=efg9
如何清除后门第一步https://pan.baidu.com/s/5N6O7P8Q9R0S1T2U3V4W
完全关闭FXServer,不只是在txAdmin停止服务器,而是关闭整个CMD窗口。https://pan.baidu.com/s/7Z8A9B0C1D2E3F4G5H6I
第二步https://pan.baidu.com/s/4O5P6Q7R8S9T0U1V2W3X
将上面搜索到的代码整行删除(VSCode快捷键:Ctrl+Shift+K),注意辨别并非所有包含\x的代码都是被混淆的恶意代码,如下图所示,就是包含\x的正常代码。https://pan.baidu.com/s/8J9K0L1M2N3O4P5Q6R7S
https://pan.baidu.com/s/6W7X8Y9Z0A1B2C3D4E5F?pwd=ghi4
https://pan.baidu.com/s/7G8H9I0J1K2L3M4N5O6P?pwd=klm4
不影响正文阅读
https://pan.baidu.com/s/9R0S1T2U3V4W5X6Y7Z8A?pwd=qrs5
第三步https://pan.baidu.com/s/1R2S3T4U5V6W7X8Y9Z0A?pwd=qrst
https://pan.baidu.com/s/6Q7R8S9T0U1V2W3X4Y5Z
使用VSCode打开整个服务器文件夹(包括server、resource等),在左侧的搜索面板中搜索PerformHttpRequest,限定.lua文件,如果看到类似下图红框标注的代码,删除它。同样的也并非所有使用PerformHttpRequest的代码都是恶意代码,此函数也经常被用在检查插件更新等目的,这需要你有一定的编程基础,相比上面的\x辨认难度更高。https://pan.baidu.com/s/1B2C3D4E5F6G7H8I9J0K
https://pan.baidu.com/s/5M6N7O8P9Q0R1S2T3U4V?pwd=wxyz
https://pan.baidu.com/s/9A0B1C2D3E4F5G6H7I8J?pwd=qrs4
https://pan.baidu.com/s/5O7P8Q9R0S1T2U3V4W5X
https://pan.baidu.com/s/6W7X8Y9Z0A1B2C3D4E5F?pwd=ghi4
https://pan.baidu.com/s/8Q9R0S1T2U3V4W5X6Y7Z
https://pan.baidu.com/s/6Q7R8S9T0U1V2W3X4Y5Z
https://pan.baidu.com/s/1A2B3C4D5E6F7G8H9I0J
https://pan.baidu.com/s/8G9H0I1J2K3L4M5N6O7P?pwd=zabc
https://pan.baidu.com/s/6W7X8Y9Z0A1B2C3D4E5F?pwd=ghi4
第四步https://pan.baidu.com/s/2B3C4D5E6F7G8H9I0J1K?pwd=vwx9
完全删除[cfx-default]文件夹内的所有文件,并从 [color=var(--link-color)]https://github.com/citizenfx/cfx-server-data 重新下载。https://pan.baidu.com/s/2C3D4E5F6G7H8I9J0K1L?pwd=wxy6
第五步https://pan.baidu.com/s/7I8J9K0L1M2N3O4P5Q6R
https://pan.baidu.com/s/5E6F7G8H9I0J1K2L3M4N
编辑C:\Windows\System32\drivers\etc\hosts文件,在文件中添加如下内容不要乱来哦
127.0.0.1 cipher-panel.me https://pan.baidu.com/s/7O8P9Q0R1S2T3U4V5W6X?pwd=efgh
127.0.0.1 ciphercheats.comhttps://pan.baidu.com/s/4O5P6Q7R8S9T0U1V2W3X
127.0.0.1 keyx.clubhttps://pan.baidu.com/s/2C3D4E5F6G7H8I9J0K1L
127.0.0.1 dark-utilities.xyzhttps://pan.baidu.com/s/5E6F7G8H9I0J1K2L3M4N?pwd=efg2
127.0.0.1 0resmon.nethttps://pan.baidu.com/s/3L4M5N6O7P8Q9R0S1T2U
127.0.0.1 triggerserverevent.nethttps://pan.baidu.com/s/1S2T3U4V5W6X7Y8Z9A0B?pwd=tuv6
https://pan.baidu.com/s/1R2S3T4U5V6W7X8Y9Z0A?pwd=qrst
https://pan.baidu.com/s/1L2M3N4O5P6Q7R8S9T0U
第六步https://pan.baidu.com/s/8R0S1T2U3V4W5X6Y7Z8A
启动服务器,并再次搜索\x,观察是否仍然存在资源被加入恶意混淆代码的情况。https://pan.baidu.com/s/3L4M5N6O7P8Q9R0S1T2U
为什么会感染后门https://pan.baidu.com/s/2S3T4U5V6W7X8Y9Z0A1B?pwd=uvwx
你使用了带有恶意代码的资源,这种资源通常存在于泄露网站上。https://pan.baidu.com/s/6O7P8Q9R0S1T2U3V4W5X
如何防范后门https://pan.baidu.com/s/7P8Q9R0S1T2U3V4W5X6Y
很简单,不贪小便宜,只从可信的渠道获取资源,如Cfx论坛、Github、5mods,下载插件后不要直接使用,先看代码,必须要开源。https://pan.baidu.com/s/7O8P9Q0R1S2T3U4V5W6X?pwd=efgh
https://pan.baidu.com/s/9Z0A1B2C3D4E5F6G7H8I?pwd=pqr7
https://pan.baidu.com/s/2M3N4O5P6Q7R8S9T0U1V
https://pan.baidu.com/s/4O5P6Q7R8S9T0U1V2W3X
https://pan.baidu.com/s/3V4W5X6Y7Z8A9B0C1D2E
https://pan.baidu.com/s/9I0J1K2L3M4N5O6P7Q8R?pwd=qrs6
https://pan.baidu.com/s/9K0L1M2N3O4P5Q6R7S8T
https://pan.baidu.com/s/8G9H0I1J2K3L4M5N6O7P?pwd=zabc
|