久久久久久久999_99精品久久精品一区二区爱城_成人欧美一区二区三区在线播放_国产精品日本一区二区不卡视频_国产午夜视频_欧美精品在线观看免费

標(biāo)題: 一次服務(wù)器攻擊的處理情況 [打印本頁]

作者: xiaoniu    時間: 2014-12-27 23:50
標(biāo)題: 一次服務(wù)器攻擊的處理情況
    4月21號那天臨下班前發(fā)生了一次停電事故,由于UPS電池老化,后備電源沒堅持多久就掛了,導(dǎo)致所有的服務(wù)器斷電重啟。數(shù)小時候登錄某臺服務(wù)器,發(fā)現(xiàn)桌面打開了組策略的窗口,初步判斷此服務(wù)器已經(jīng)遭人入侵了,遂檢查本地用戶和組,發(fā)現(xiàn)guest用戶被激活并提權(quán)到administrators組,且不能刪除這個administrators組(內(nèi)置賬戶不能執(zhí)行此操作),查看系統(tǒng)日志,發(fā)現(xiàn)19號以前的日志都沒有了,可見這個入侵者是在19號以前入侵的再啟動殺毒軟件,發(fā)現(xiàn)上傳文件目錄下被建立了一個av..的文件夾,里面有一個asp文件,這個文件夾不能在資源管理器下進入、查看、刪除、但是可以在DOS下拷貝出那個asp文件,這是個加密過的文件,經(jīng)上網(wǎng)查詢,得知是用微軟的一款編碼軟件編過碼的,下載解碼軟件解碼后可以看到這是個asp腳本代碼,似乎操作了某某session(具體用途還無從得知),通過殺毒軟件可以刪除這個文件,但是文件夾還是無法刪除,于是連同前面用戶賬戶問題一起擱置下來了,只是對guest改名改密及停用處理。
    昨日也就是星期天下午開始對這兩個未解的問題進行攻關(guān),當(dāng)然所有的技巧、資料都來自網(wǎng)上,通過查詢最終解決了問題,獲得了以下經(jīng)驗教訓(xùn):
    1、用戶帳號是可以隱藏的,途徑就是在注冊表SAM-USER下建立一個用戶名跟guest不同,但是指向同一個二進制鍵值(比如都指向了01F5),人為造成帳號讀取出錯,從而在本地用戶和組里隱藏了用戶,處理方法是從其他機器導(dǎo)入guest的F和V的值。
    2、用戶所在的組和組包含的用戶必須一致,否則會造成組被隱藏。
    3、即使在本地用戶和組看不到用戶,執(zhí)行net命令還是可以看到,但是不能添加或者刪除組,這個和在圖形界面下的結(jié)果是一樣的,即還是需要對注冊表進行修復(fù)。
    4、每次進行重要的注冊表操作時,都應(yīng)該進行備份!
    5、無法查看無法刪除的文件夾是可以建立和刪除的,具體方法看另一篇:http://m.zg4o1577.cn/bbs/dpj-29684-1.html






歡迎光臨 (http://m.zg4o1577.cn/bbs/) Powered by Discuz! X3.1
主站蜘蛛池模板: 麻豆久久 | 欧美精品一区二区三区四区五区 | 精品一区二区久久久久久久网精 | 国产欧美在线视频 | 亚洲一区在线播放 | 免费国产精品久久久久久 | 久久久久9999亚洲精品 | 久久免费福利 | av黄色国产 | 免费大黄视频 | 亚洲性网 | 久久精品在线播放 | 亚洲成人一区 | 国产伦精品一区二区三区视频金莲 | 国内自拍偷拍一区 | 精品美女在线观看视频在线观看 | 亚洲激情在线观看 | 国产高清精品在线 | 91精品在线播放 | 中文字幕一区在线观看视频 | 国产在线一区观看 | 在线观看的av | 日韩一 | 亚洲女人天堂成人av在线 | 国产亚洲精品久久久优势 | 久久久123| 蜜月va乱码一区二区三区 | 国产亚洲精品综合一区 | 成人av网页 | 欧美www在线 | 亚洲一区久久 | 精品美女在线观看视频在线观看 | 国产黄色小视频 | 日韩免费视频 | 中日字幕大片在线播放 | 拍拍无遮挡人做人爱视频免费观看 | 99资源| 国产成人精品一区二区三区四区 | 精品在线观看一区 | 亚洲在线一区二区三区 | 亚洲视频免费 |