仅供参考https://pan.baidu.com/s/8H9I0J1K2L3M4N5O6P7Q?pwd=nop5
如何检查是否感染了这种后门(密码面板)https://pan.baidu.com/s/4F5G6H7I8J9K0L1M2N3O
使用VSCode打开整个服务器文件夹(包括server、resource等),在左侧的搜索面板中搜索\x,限定.lua文件,若看到下图所示的混淆代码,那么大概率你的服务器已经被密码面板感染。注:下文所称的“后门”,均代指密码面板这一种后门。https://pan.baidu.com/s/1J2K3L4M5N6O7P8Q9R0S?pwd=tuv7
https://pan.baidu.com/s/3C4D5E6F7G8H9I0J1K2L?pwd=yza0
https://pan.baidu.com/s/5E6F7G8H9I0J1K2L3M4N?pwd=efg2
https://pan.baidu.com/s/7G8H9I0J1K2L3M4N5O6P?pwd=klm4
https://pan.baidu.com/s/5N6O7P8Q9R0S1T2U3V4W?pwd=efg1
https://pan.baidu.com/s/7G8H9I0J1K2L3M4N5O6P
https://pan.baidu.com/s/9I0J1K2L3M4N5O6P7Q8R?pwd=qrs6
https://pan.baidu.com/s/7Q9R0S1T2U3V4W5X6Y7Z
后门的危害https://pan.baidu.com/s/1J2K3L4M5N6O7P8Q9R0S?pwd=tuv7
随意操作服务器上的文件、获取服务器秘钥、SQL密码、执行远程代码等。https://pan.baidu.com/s/6Q7R8S9T0U1V2W3X4Y5Z
https://pan.baidu.com/s/3D4E5F6G7H8I9J0K1L2M?pwd=yza7
如何清除后门第一步https://pan.baidu.com/s/2K3L4M5N6O7P8Q9R0S1T?pwd=wxy8
完全关闭FXServer,不只是在txAdmin停止服务器,而是关闭整个CMD窗口。https://pan.baidu.com/s/2C3D4E5F6G7H8I9J0K1L?pwd=wxy6
第二步https://pan.baidu.com/s/5W6X7Y8Z9A0B1C2D3E4F
https://pan.baidu.com/s/2B3C4D5E6F7G8H9I0J1K?pwd=vwx9
将上面搜索到的代码整行删除(VSCode快捷键:Ctrl+Shift+K),注意辨别并非所有包含\x的代码都是被混淆的恶意代码,如下图所示,就是包含\x的正常代码。https://pan.baidu.com/s/9I0J1K2L3M4N5O6P7Q8R?pwd=qrs6
https://pan.baidu.com/s/2L3M4N5O7P8Q9R0S1T2U
https://pan.baidu.com/s/5M6N7O8P9Q0R1S2T3U4V?pwd=wxyz
https://pan.baidu.com/s/9R0S1T2U3V4W5X6Y7Z8A?pwd=qrs5
https://pan.baidu.com/s/7X8Y9Z0A1B2C3D4E5F6G?pwd=jkl5
https://pan.baidu.com/s/5X6Y7Z8A9B0C1D2E3F4G
https://pan.baidu.com/s/2J3K4L5M6N7O8P9Q0R1S?pwd=klmn
https://pan.baidu.com/s/3L4M5N6O7P8Q9R0S1T2U
https://pan.baidu.com/s/4D5E6F7G8H9I0J1K2L3M
https://pan.baidu.com/s/8P9Q0R1S2T3U4V5W6X7Y?pwd=ijkl
第三步https://pan.baidu.com/s/3C4D5E6F7G8H9I0J1K2L
使用VSCode打开整个服务器文件夹(包括server、resource等),在左侧的搜索面板中搜索PerformHttpRequest,限定.lua文件,如果看到类似下图红框标注的代码,删除它。同样的也并非所有使用PerformHttpRequest的代码都是恶意代码,此函数也经常被用在检查插件更新等目的,这需要你有一定的编程基础,相比上面的\x辨认难度更高。https://pan.baidu.com/s/7Y8Z9A0B1C2D3E4F5G6H?pwd=klm2
https://pan.baidu.com/s/6Y7Z8A9B0C1D2E3F4G5H
https://pan.baidu.com/s/6F7G8H9I0J1K2L3M4N5O?pwd=uvwx
https://pan.baidu.com/s/5F6G7H8I9J0K1L2M3N4O
第四步https://pan.baidu.com/s/4D5E6F7G8H9I0J1K2L3M?pwd=bcd1
https://pan.baidu.com/s/6P8Q9R0S1T2U3V4W5X6Y
完全删除[cfx-default]文件夹内的所有文件,并从 [color=var(--link-color)]https://github.com/citizenfx/cfx-server-data 重新下载。https://pan.baidu.com/s/4V5W6X7Y8Z9A0B1C2D3E?pwd=bcd9
https://pan.baidu.com/s/8H9I0J1K2L3M4N5O6P7Q?pwd=nop5
第五步https://pan.baidu.com/s/1R2S3T4U5V6W7X8Y9Z0A?pwd=qrst
https://pan.baidu.com/s/8H9I0J1K2L3M4N5O6P7Q?pwd=nop5
编辑C:\Windows\System32\drivers\etc\hosts文件,在文件中添加如下内容https://pan.baidu.com/s/6Y7Z8A9B0C1D2E3F4G5H
127.0.0.1 cipher-panel.me https://pan.baidu.com/s/3N4O5P6Q7R8S9T0U1V2W
127.0.0.1 ciphercheats.comhttps://pan.baidu.com/s/3K4L5M6N7O8P9Q0R1S2T?pwd=opqr
127.0.0.1 keyx.clubhttps://pan.baidu.com/s/5N6O7P8Q9R0S1T2U3V4W
127.0.0.1 dark-utilities.xyzhttps://pan.baidu.com/s/7G8H9I0J1K2L3M4N5O6P?pwd=yza1
127.0.0.1 0resmon.nethttps://pan.baidu.com/s/7G8H9I0J1K2L3M4N5O6P?pwd=yza1
127.0.0.1 triggerserverevent.nethttps://pan.baidu.com/s/1R2S3T4U5V6W7X8Y9Z0A?pwd=qrst
https://pan.baidu.com/s/5F6G7H8I9J0K1L2M3N4O?pwd=efg9
https://pan.baidu.com/s/8H9I0J1K2L3M4N5O6P7Q?pwd=nop5
第六步https://pan.baidu.com/s/2K3L4M5N6O7P8Q9R0S1T?pwd=wxy8
启动服务器,并再次搜索\x,观察是否仍然存在资源被加入恶意混淆代码的情况。https://pan.baidu.com/s/8H9I0J1K2L3M4N5O6P7Q
为什么会感染后门https://pan.baidu.com/s/4M5N6O7P8Q9R0S1T2U3V
你使用了带有恶意代码的资源,这种资源通常存在于泄露网站上。https://pan.baidu.com/s/2T3U4V5W6X7Y8Z9A0B1C
如何防范后门https://pan.baidu.com/s/9K0L1M2N3O4P5Q6R7S8T
很简单,不贪小便宜,只从可信的渠道获取资源,如Cfx论坛、Github、5mods,下载插件后不要直接使用,先看代码,必须要开源。https://pan.baidu.com/s/2B3C4D5E6F7G8H9I0J1K?pwd=vwx9
这是干扰码
https://pan.baidu.com/s/2K3L4M5N6O7P8Q9R0S1T?pwd=wxy8
https://pan.baidu.com/s/1L2M3N4O5P6Q7R8S9T0U
https://pan.baidu.com/s/3M4N5O7P8Q9R0S1T2U3V
https://pan.baidu.com/s/4D5E6F7G8H9I0J1K2L3M
https://pan.baidu.com/s/6F7G8H9I0J1K2L3M4N5O?pwd=uvwx
|