服务器被入侵后这些事情一定要做好
Admin 2021-04-14 群英行业资讯
首先要防止对方通过现有的系统环境再次登录,条件允许的情况下最好将WEB, FTP ,MAIL ,SQL等服务事先关闭等检查需要时再开启(极端的情况下可以直接用IP策略封掉除自己以外所有的双向网络连接)
同时要保证当前系统环境的稳定正常,对文件的操作建议使用everyone拒绝的形式而不是直接删除。
通过本地用户和组(lusrmgr.msc)查看否存在多个管理员或克隆用户。多余的管理员修改密码后全部禁止,克隆帐号会继承原用户的数据,比如帐号说明之类的很好区分。打开regedt32 给HKEY_LOCAL_MACHINESAMSAM加上administrators全权(一般黑客已经帮你完成了这步)就能看到SAM项下的内容。 HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames下可以看到用户的列表,默认的二进制键值记录的是帐号对应的UID,例如0x1f4。UID列表对应于HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers 这里是帐号的权限信息,例如0x1f4对应000001F4项。找到克隆帐号修改掉他的UID将其删除,还原注册表权限。
可以通过第三方工具冰刃(iecsword)进行进程检查。发现可疑的进程全部关闭(system32svchost.exe,lsass.exe,winlogon.exe,csrss.exe为关键的系统进程,确认进程文件路径的情况下不要去关闭。) 。如是冰刃中提示存在但进程管理器中无法看到的,在该进程的“模块信息中“找出该程序是插入到哪个进程中的并将其“强制解除“(有可能会系统自动重启,如插入的是系统的关键进程,需事先EVERYONE拒绝掉该进程文件后再强制解除,DLL文件反注册后再执行之前的操作)。
C:Documents and SettingsAllUsersDocuments
C:Documents and SettingsAllUsersApplication Data
C:wmpubwmiislog
下是否有可疑程序。
C:Documents and Settings下是否有其他用户的目录。如果存在则进入该用户目录搜索*.exe *.com *.bat可能会找到一些登录后用过的工具以便分析入侵过程。
C:Documents and SettingsxxxxxLocalSettings目录下能找到该用户一些访问的缓存记录也有助于分析。
检查当前端口使用状态,被动模式的木马会监听端口来等待连接。可以通过netstat -anb |more 来获取当前端口的使用状态和对应的程序名(只用于03系统)。
windows目录和system32目录右击→文件查看→详细信息→按日期排列后找出最近建立的exe和dll文件对其进行排查。
检查杀毒软件的日志记录,一般通过WEB进行提权的,获得上传权限后会通过某个站点上传WEB木马这时候往往可以从杀毒软件的日志中发现一些记录。入侵后上传的程序很有可能被当做病毒清除。通过日志可以获得木马路径以及木马程序名称。
检查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程序的权限是否有被修改。
检查系统启动组(msconfig)以及组策略(gpedit.msc)。组策略中的管理模版→系统→登录要注意。
检查SERV-U用户是否有系统管理员权限。搜索SERV-U配置文件ServUDaemon.ini 关键字为“system”。如发现Maintenance=System则此用户的权限存在问题,更换SERV-U除两个.ini外的全部文件以防止捆绑,完成后给SERV-U加上管理密码。
检查SQL SERVER是否有system Administrators角色的用户,是否有用户拥有多个库的访问权限。
MYSQL备份好MYSQL库检查USER表。表中每行代表一个用户的权限,发现与ROOT内容相同的行一律删除。
修复和更新可能受损的杀毒软件,重新配置安全环境。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
猜你喜欢
ddos服务器租用是一个长期合作的过程,因为一开始选定了服务器之后,我们可能真的是很长时间都不会更换,而且更换一次服务器,对我们的网站影响也是比较大的。既然是要租用合适的服务器,那么你肯定还是要做好多方面的对比工作才行。那么到底什么样的服务器才是更值得我们去租赁使用的呢?
双线双IP技术、BGP多线技术,双线服务器租用早已成为企业在互联网中的优点。单线服务器租用网络带宽大,价格低,可是访问速度比较慢,而双线服务器则不一样,双线实现电信和联通或其他相互之间可以相互之间访问的网络空间,那么双线服务器租用的好处有什么?
无论是在生活还是工作上,随着互联网的普及,邮箱的使用率在不停的提高,成为大家合作交往的工具,但是大家对于企业邮箱和个人邮箱认识又知道多少呢?现在小编带大家去了解两者的区别。 个人邮箱是指员工根据个人需求申
一个大型网络游戏服务器多少钱?大型多人在线游戏服务器理论上需要支持无限多的玩家,所以对服务器端是一个非常大的考验。服务器必须是安全的,可维护性高的,可伸缩性高的,可负载均衡的,支持高并发请求的。
服务器的种类有很多,一般我们说购买服务器,并不是说购买服务器硬件本身,而通常是说购买服务器的使用权,也就是租用服务器。购买服务器,根据自己需求配置即可。购买服务器常见的理解有两种:一种是购买云服务器,...