服务器上添加用户并把administrator用户隐藏
服务器连续被黑,症状是在用户账户中多一个用户名称类似Internetuser之类的,并且设有密码。Administrator账户在登陆界面中被删除。
哪位高手了解这个情况,是木马吗?如何处理? 恢复administrator 删除异常用户
对注册表下sam子键进行详细检查,里面的值
特别是用户名下面的v值,N多人喜欢克隆账户
你的是不是web如果是
从网络,应用,系统三个层面去检查
同时使用工具和手工的方式去检查有没有webshell
我估计有
工作量比较大
推荐一些工具
webshellscan
icesword
wsyscheck (可能会让服务器重启)
协议分析软件
antirookit
procexp
filemon
antorun
每个工具都有自己的用户,
我最近正和黑客做斗争了 现在查到的结果是:
在C:\WINDOWS\system32目录里有一个下载木马的程序dboysb.bat,这个程序从一个网站下载a.exe和b.exe的木马,而且这个路径下DEBUG文件夹里的内容也不正常也有下载木马的程序(这个可能是另一个木马)。
这个dboysb程序可能是添加用户的元凶…… 应该是克隆用户了。弄个检查工具看看
页:
[1]