删除骇客隐藏帐号

简介:
注:下面是一真实的纪录,是我刚进入公司时发生的。今日有一朋友服务器亦发生此故障,特以此文简述处理过程
 
一日,一开发部门同事抱怨一服务器远程登录不进去。还好有备用帐户,发现有不明用户admin, admin$, jiaozhu$, 并有后门程序systemram.exe, win.exe运行,Mcafee防病毒程序被暂停,且netstat -an发现黑客使用admin用户远程登录
 
因服务器仍然使用默认远程端口3389,并运行Serv-U,立即停止Serv-U,修改远程端口为不规则5位数字,立即重起服务器。
 
重起后,再次远程登录;
run regedt32;
修改HKEY_LOCAL_MACHINE\SAM\SAM权限,administrator为完全控制
删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中不明帐户及HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中对应类型号;
修改administrator权限为写入DAC”读取控制
再次重起服务器;
 
删除后门程序
删除FTP等无需使用的软件
 
骇客再也没有进来过。事后研究,骇客是通过开发部门同事安装的Serv-U漏洞进去的。6.1版本的Serv-U有严重漏洞,须升级为更高版本或设置Serv-U管理员界面登录密码。









本文转自 qinling_bai 51CTO博客,原文链接:http://blog.51cto.com/22494/10653,如需转载请自行联系原作者
目录
相关文章
|
安全 数据库 数据安全/隐私保护
信息周刊:随意设置电脑密码存在安全隐患
据美国出版的最新一期《信息周刊》披露,不少电脑用户在设置电脑密码时太过随意,这给电脑黑客窃取个人信息提供了便利。 据报道,最近美国一家名为phpbb.com的电脑程序网站的数据库被黑客入侵,2万名用户的密码被窃。
909 0
|
Web App开发
Outlook 2013 在邮件里面点击超链接时弹出“组织策略阻止我们为您完成此操作”
现象描叙:     在Outlook在邮件里面点击超链接时,打不开超链接页面,弹出如下提示: 这个是因为之前安装了其它浏览器(例如,我安装了360的浏览器),并且设置为了默认浏览器,后来卸载了该浏览器,在Office里面打开超链接时,是按照默认浏览器打开的。
1020 0
|
安全 网络协议 开发工具
想要成为黑客?那你需要学会这些知识
想要成为黑客?那你需要学会这些知识
1476 0
如何从互联网上删除自己以前留下的个人信息
如何从互联网上删除自己以前留下的个人信息痕迹 您可能认为您的互联网使用是完全隐私的,但是无论您何时访问网站,注册帐户,购买产品,发布消息或浏览搜索引擎结果,您都会分享自己的一些信息。如果您发现这种麻烦,您可能想了解更多关于如何删除您的互联网脚印的信息。
4387 0
|
安全 数据安全/隐私保护
|
数据安全/隐私保护 Windows