注:下面是一真實的紀錄,是我剛進入公司時發生的。今日有一朋友伺服器亦發生此故障,特以此文簡述處理過程
一日,一開發部門同事抱怨一伺服器遠端登入不進去。還好有備用帳戶,發現有不明使用者
admin, admin$, jiaozhu$,
並有後門程式
systemram.exe, win.exe
執行,mcafee
防病毒程式被暫停,且netstat -an發現黑客使用
admin
使用者遠端登入
因伺服器仍然使用預設遠端埠3389,並執行serv-u,立即停止serv-u,修改遠端埠為不規則5位數字,立即重起伺服器。
重起後,再次遠端登入;
run regedt32;
修改hkey_local_machine\sam\sam
許可權,administrator
為完全控制;
刪除hkey_local_machine\sam\sam\domains\account\users\names
中不明帳戶及
hkey_local_machine\sam\sam\domains\account\users
中對應型別號;
修改administrator
許可權為」
寫入dac」及」
讀取控制」
再次重起伺服器;
刪除後門程式;
刪除ftp
等無需使用的軟體;
駭客再也沒有進來過。事後研究,駭客是通過開發部門同事安裝的serv-u漏洞進去的。6.1版本的serv-u有嚴重漏洞,須公升級為更高版本或設定serv-u管理員介面登入密碼。
刪除駭客隱藏帳號
注 下面是一真實的紀錄,是我剛進入公司時發生的。今日有一朋友伺服器亦發生此故障,特以此文簡述處理過程 一日,一開發部門同事抱怨一伺服器遠端登入不進去。還好有備用帳戶,發現有不明使用者 admin,admin jiaozhu 並有後門程式 systemram.exe,win.exe 執行,mcafee...
刪除駭客隱藏帳號
注 下面是一真實的紀錄,是我剛進入公司時發生的。今日有一朋友伺服器亦發生此故障,特以此文簡述處理過程 一日,一開發部門同事抱怨一伺服器遠端登入不進去。還好有備用帳戶,發現有不明使用者 admin,admin jiaozhu 並有後門程式 systemram.exe,win.exe 執行,mcafee...
Ubuntu刪除客人帳號
在一開始使用ubuntu時還是滿興奮的,但是在多次登入系統後發現ubuntu有自己設定的帳號和密碼之外,還有乙個 客人登入 細心的人就會發現客人登入是不需要帳號和密碼的,直接點選就能登入。雖然說客人登入退出後會刪除所有設定和操作,但我還是不放心。我在網上找了一些方法,終於被我找到乙個比較合適的了。在...