4月21號(hào)那天臨下班前發(fā)生了一次停電事故�,由于UPS電池老化,后備電源沒(méi)堅(jiān)持多久就掛了���,導(dǎo)致所有的服務(wù)器斷電重啟��。數(shù)小時(shí)候登錄某臺(tái)服務(wù)器,發(fā)現(xiàn)桌面打開(kāi)了組策略的窗口���,初步判斷此服務(wù)器已經(jīng)遭人入侵了����,遂檢查本地用戶(hù)和組�����,發(fā)現(xiàn)guest用戶(hù)被激活并提權(quán)到administrators組���,且不能刪除這個(gè)administrators組(內(nèi)置賬戶(hù)不能執(zhí)行此操作)�,查看系統(tǒng)日志,發(fā)現(xiàn)19號(hào)以前的日志都沒(méi)有了����,可見(jiàn)這個(gè)入侵者是在19號(hào)以前入侵的再啟動(dòng)殺毒軟件,發(fā)現(xiàn)上傳文件目錄下被建立了一個(gè)av..的文件夾��,里面有一個(gè)asp文件�,這個(gè)文件夾不能在資源管理器下進(jìn)入、查看���、刪除��、但是可以在DOS下拷貝出那個(gè)asp文件����,這是個(gè)加密過(guò)的文件��,經(jīng)上網(wǎng)查詢(xún)����,得知是用微軟的一款編碼軟件編過(guò)碼的,下載解碼軟件解碼后可以看到這是個(gè)asp腳本代碼,似乎操作了某某session(具體用途還無(wú)從得知)��,通過(guò)殺毒軟件可以刪除這個(gè)文件��,但是文件夾還是無(wú)法刪除�,于是連同前面用戶(hù)賬戶(hù)問(wèn)題一起擱置下來(lái)了,只是對(duì)guest改名改密及停用處理�����。
昨日也就是星期天下午開(kāi)始對(duì)這兩個(gè)未解的問(wèn)題進(jìn)行攻關(guān)�,當(dāng)然所有的技巧、資料都來(lái)自網(wǎng)上����,通過(guò)查詢(xún)最終解決了問(wèn)題,獲得了以下經(jīng)驗(yàn)教訓(xùn): 1���、用戶(hù)帳號(hào)是可以隱藏的,途徑就是在注冊(cè)表SAM-USER下建立一個(gè)用戶(hù)名跟guest不同�,但是指向同一個(gè)二進(jìn)制鍵值(比如都指向了01F5),人為造成帳號(hào)讀取出錯(cuò)�,從而在本地用戶(hù)和組里隱藏了用戶(hù),處理方法是從其他機(jī)器導(dǎo)入guest的F和V的值��。 2、用戶(hù)所在的組和組包含的用戶(hù)必須一致�����,否則會(huì)造成組被隱藏����。 3、即使在本地用戶(hù)和組看不到用戶(hù)�����,執(zhí)行net命令還是可以看到����,但是不能添加或者刪除組,這個(gè)和在圖形界面下的結(jié)果是一樣的��,即還是需要對(duì)注冊(cè)表進(jìn)行修復(fù)����。 4、每次進(jìn)行重要的注冊(cè)表操作時(shí)���,都應(yīng)該進(jìn)行備份���!
| 
QQ好友和群
QQ空間
騰訊微博
騰訊朋友
收藏
淘帖
頂
踩
