vps交流
当前位置:嘟嘟社区 > bbs > 正文

之前免费的一个月腾讯云被黑了 两天跑了我6个T

2022-04-04 分类:bbs

本帖最后由 司马南 于 2022-4-4 15:33 编辑

先总结:不要乱下软件

Address        185.216.117.5
Hostname        noc.ayidc.com
ISP        Cloudie Limited
IP Organization        Cloudie Limited
ASN        AS55933
ASN Organization        Cloudie Limited
Location        香港

起因时流量报警

火绒自己统计的6个t

之前免费的一个月腾讯云被黑了 两天跑了我6个T

腾讯云后台统计的,感觉是当肉鸡了 鸡其他腾讯云的没算进流量      

之前免费的一个月腾讯云被黑了 两天跑了我6个T

最开始网上找了个tg汉化exe 火绒拦截我还加了白之前免费的一个月腾讯云被黑了 两天跑了我6个T     tg 我幸亏没登录上 要验证码没收到验证码还骂tg
之前免费的一个月腾讯云被黑了 两天跑了我6个T

  1. 【9】2022-03-31 22:20:45,网络防护,横向渗透防护,受到185.216.117.5的远程WMI调用,已阻止
  3. 远程地址:185.216.117.5:2773
  4. 本地地址:10.0.16.14:135
  5. 防护项目:远程WMI调用
  6. CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
  7. 处理结果:已阻止
  8. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  10. 【10】2022-03-31 22:20:45,网络防护,横向渗透防护,受到185.216.117.5的远程WMI调用,已阻止
  12. 远程地址:185.216.117.5:3405
  13. 本地地址:10.0.16.14:135
  14. 防护项目:远程WMI调用
  15. CLSID: 8BC3F05E-D86B-11D0-A075-00C04FB68820
  16. 处理结果:已阻止

复制代码

今天收到流量异常就开始用火绒全盘扫描了

C:Program FilesCommon FilesA5910D1B.exe

上查杀

https://habo.qq.com/file/showdetail?pk=ADcGYV1lB2AIOls%2FU2s%3D

  1. 进程行为
  2. 行为描述:        创建本地线程
  3. 详情信息:       
  4. TargetProcess: %temp%****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2468, StartAddress = 77DC845A, Parameter = 00000000
  6. TargetProcess: %temp%****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2600, StartAddress = 77C0A341, Parameter = 003F72A0
  8. TargetProcess: %temp%****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2604, StartAddress = 77C0A341, Parameter = 003F72A0
  10. TargetProcess: %temp%****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2624, StartAddress = 77C0A341, Parameter = 003F7330
  12. TargetProcess: %temp%****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2848, StartAddress = 77C0A341, Parameter = 003F73C0
  14. 行为描述:        枚举进程
  15. 详情信息:       
  16. N/A
  18. 文件行为
  19. 行为描述:        重命名文件
  20. 详情信息:       
  21. C:Documents and SettingsAdministratorLocal Settings%temp%****.exe —> C:Program FilesCommon Files3B0BDBEB.exe
  23. 网络行为
  24. 行为描述:        打开指定IE网页
  25. 详情信息:       
  26. tg://setlanguage?lang=classic-zh-cn
  28. 行为描述:        建立到一个指定的套接字连接
  29. 详情信息:       
  30. URL: da****om, IP: **.216.117.**:8000, SOCKET = 0x00000114
  32. 行为描述:        按名称获取主机地址
  33. 详情信息:       
  34. gethostbyname: da****om
  36. 注册表行为
  37. 行为描述:        修改注册表
  38. 详情信息:       
  39. REGISTRYMACHINESYSTEMControlSet002SoftwareWxyabc Efghijkl NopMarkTime
  41. REGISTRYUSERS-*SoftwareMicrosoftActiveMoviedevenumVersion

复制代码

之前免费的一个月腾讯云被黑了 两天跑了我6个T

这软件还删不了

用了火绒粉碎


mjj们  冲 185.216.117.5
服务器上装火绒 ???
3389被爆破了?
所以超了这么多流量,需要付多少钱

yanshao 发表于 2022-4-4 15:58
服务器上装火绒 ???

之前免费的一个月腾讯云被黑了 两天跑了我6个T个人习惯,,,
哈哈,多少钱

aipage 发表于 2022-4-4 16:18
3389被爆破了?

没有  自己下了病毒软件
不放心装个安全狗好点
请求超时了
tg汉化???
标签: