實例講解網站被入侵後需做的檢測

　　先分析入侵者都做了些什麼！

　　記得為了方便在他機器上裝了RADMIN，登錄了一下，密碼也不對了，看來是有人上去了，而且入侵者還拿到了系統管理員權限。

　　跑到機房，拿出ERD COMMANDER，改了密碼，重啟，進入系統後第一步升級帳戶，多了一個hud$的用戶，administrators組，刪除，再看guest用戶雖然禁用狀態，但是說明內容不對了。仔細一看，administrators組，同樣刪除。接著看了下其他用戶，組別都正常，把遠程連接權限都去掉後，帳號方面算是處理完了。

　　接著看看各個硬盤C:\下面有如下文件

　　sqlhello.exe

　　sqlhello2.exe

天極軟件專題專區精選 Windows Vista專區 POPO專區 QQ專區　QQ掛機 注冊表應用專區 Flash MX 視頻教程 Photoshop視頻教程 網頁設計視頻教程 照片處理數字暗房 PPT動畫演示教程 Excel動畫教程集 Word動畫演示教程 Google專區 特洛伊木馬專區 黑客知識教程專區 防火牆應用專區 了解Web2.0 Windows API開發專區 網絡編程專區 VB數據庫編程專區 圖像處理與多媒體編程
　　result.txt

　　1.bat

　　2.bat

　　編輯了下1.bat，裡面內容都是掃描整個網段。看來是有人拿這台機器當跳板了，移動所有文件到其他目錄。

　　接著審計應用程序，考慮這台機器的用途和環境。

　　是WINDOWS2000+IIS+SERV-U

　　先看SERV-U審計用戶，看看有沒有別人加system權限的FTP用戶，查看下來沒有。

　　執行權限也沒有，鎖定目錄狀態都是對的。

　　看了下沒有記錄日志。

　　然後看了版本。

123下一頁閱讀全文