先分析入侵者都做了些什麼!
記得為了方便在他機器上裝了RADMIN,登錄了一下,密碼也不對了,看來是有人上去了,而且入侵者還拿到了系統管理員權限。
跑到機房,拿出ERD COMMANDER,改了密碼,重啟,進入系統後第一步升級帳戶,多了一個hud$的用戶,administrators組,刪除,再看guest用戶雖然禁用狀態,但是說明內容不對了。仔細一看,administrators組,同樣刪除。接著看了下其他用戶,組別都正常,把遠程連接權限都去掉後,帳號方面算是處理完了。
接著看看各個硬盤C:\下面有如下文件
sqlhello.exe
sqlhello2.exe
天極軟件專題專區精選
Windows Vista專區
POPO專區
QQ專區 QQ掛機
注冊表應用專區
Flash MX 視頻教程
Photoshop視頻教程
網頁設計視頻教程
照片處理數字暗房
PPT動畫演示教程
Excel動畫教程集
Word動畫演示教程
Google專區
特洛伊木馬專區
黑客知識教程專區
防火牆應用專區
了解Web2.0
Windows API開發專區
網絡編程專區
VB數據庫編程專區
圖像處理與多媒體編程
result.txt
1.bat
2.bat
編輯了下1.bat,裡面內容都是掃描整個網段。看來是有人拿這台機器當跳板了,移動所有文件到其他目錄。
接著審計應用程序,考慮這台機器的用途和環境。
是WINDOWS2000+IIS+SERV-U
先看SERV-U審計用戶,看看有沒有別人加system權限的FTP用戶,查看下來沒有。
執行權限也沒有,鎖定目錄狀態都是對的。
看了下沒有記錄日志。
然後看了版本。
123下一頁閱讀全文