Hoy compartiremos con usted el proceso de reparación luego de que el sistema operativo haya sido invadido. Este tutorial solo brinda una breve introducción a la reparación posterior a la intrusión, espero usar el sistema. Los amigos son una pequeña referencia y referencia.
Texto:
Al igual que un administrador del sistema en una estación escolar, responsable de 3 hosts, verifique primero, encontrar un host en el directorio de la piel es sospechoso El archivo existe. Oh, acabo de encontrar un problema cuando estás en el trabajo, oye, hazlo bien. Para estar seguro, este host está comprometido.
Operación
:
1 El sistema adopta 2003 + iis6.0, formato de partición NTFS y la configuración de permisos es normal. Pcanywhere10.0 gestión remota. La página está alimentada por Power Article System, versión 3.51. Adjunte otro sitio web y use la versión modificada de la red.
2 La prueba encontró que el administrador anterior no prestó atención a la seguridad web. Los artículos potenciados tienen serias vulnerabilidades de carga y no están parcheados. Red dinámica versión 7.00sp2, pero no descarta que haya sido hackeado. Inmediatamente, el sistema fue inspeccionado a fondo y no se encontró ningún troyano. Determinar la seguridad del sistema host. Pero muchos webshells fueron encontrados en la web, para ser borrados. Iis6.0 no logging!
3 Comprobación de la reparación (copia de seguridad del sistema web actual.)
Un método de búsqueda de tiempo: busque y cree después del tiempo de acuerdo con el tiempo de creación más antiguo del archivo anterior. Todos los archivos. También se encontraron muchos archivos gif, jpg, asp, cer y otros formatos desconocidos. Ábrelo con el Bloc de notas y encuéntralo como un troyano asp. Copia de seguridad, eliminar.
B Método de búsqueda de herramientas: después de la búsqueda manual, instale software antivirus, antivirus completo, además de matar a un pequeño número de troyanos asp, no hay otros hallazgos. Compruebe el usuario, sin excepciones. Compruebe la unidad C, no faltan archivos. Explique que el intruso no mejoró aún más los permisos después de obtener los permisos web, pero no descartó la instalación de más troyanos ocultos. Para ser revisado.
C Según el método de búsqueda de tiempo, algunos archivos asp normales se han modificado. Entre ellos, la página de administración dinámica del sistema de artículos se inserta en el código, y la contraseña del administrador se guarda en texto sin formato. El código es similar al código de texto de contraseña en el foro de texto simple.
En otros archivos asp modificados, se encontró que hay troyanos web de tiburones móviles, troyanos de palabras de icefox, troyanos marinos, etc., todos encriptados.
D Reparar; haga una copia de seguridad de este sistema web y extraiga la base de datos. Eliminar: restaure la copia de seguridad del sistema hace varios meses, verifique, no hay ningún troyano. Importe la base de datos actual. Elimine el archivo asp del software dinámico de carga de artículos y agregue el código anti-inyección. Modifique todas las contraseñas de webmaster y modifique todas las contraseñas de administrador del sistema. Actualice pcanywhere a 11.0 para modificar las contraseñas de pcanywhere y limitar la ip. Abra el registro de registro iis6.0. Debido a que el sitio web vinculado no se ha actualizado durante mucho tiempo, el administrador de la web no puede ponerse en contacto, cambiar la ruta, eliminar la conexión y ahorrar.
Análisis: debido a la configuración de permisos del host, es posible que el intruso no pueda aumentar los permisos.
(Es posible que se haya obtenido la contraseña de pcanywhere, pero el host permanece bloqueado durante mucho tiempo. Se estima que la tecnología del intruso todavía es superficial). Se analiza mediante los documentos que dejó. En el caso de webshell, subió el archivo cmd, pero los permisos están mejor configurados, lo que se estima que es demasiada información. Suba 2003.bat xp3389.exe y otros archivos, desee abrir el puerto del servidor 3389. Sin embargo, debido a problemas de permisos, no se puede mejorar. Ps: Si un host instala pcanywhere, no podrá abrir el servicio 3389 y su archivo principal será reemplazado por pcanywhere. No se puede abrir. Otros archivos son herramientas como procesos de visualización, instalación de servicios, etc. Se estima que sin obtener privilegios más altos, la información obtenida no es suficiente para obtener derechos de administrador. Lo único que se debe tener en cuenta es que el archivo de contraseñas de pcanywhere está disponible para todos. En *: Documentos y configuracionesA todos los usuarios Aplicación DataSymantec, este directorio es visible para todos, incluido el archivo de contraseñas de pcanywhere * .cif, hay un visor de contraseñas en la red, pero la versión 11.0 Incapaz de ver. Oh, actualízalo.
Todos están familiarizados con el uso compartido de la red. Todos saben que está ba
En términos simples, los servidores de Exchange se pueden utilizar para diseñar sis
Hoy en día, en muchas discusiones que involucran problemas de seguridad informática, a menudo mencio
Windows 2003 Server es la seguridad de la seguridad del sistema Windows2003, pero e
Servicios detallados del sistema Win XP /2003
Dos consejos de optimización de la máquina de conmutación Win 2003
Búsqueda de palabras clave encontrar archivos también tienen omisiones
La resolución de servicios del sistema tiene un truco
Hay un truco para ver rápidamente los registros del sistema en win2003
Las tres medidas principales para lograr una gestión eficiente del servidor win2003
Windows2003 implementa el método de intercambio de red NAT
Win2003 escritorio remoto en el mágico mundo de
Pasos específicos para utilizar la recuperación automática de fallos del sistema
Compartir conjunto win2003 experiencia de permiso anti-troyano
El código fuente del servidor ftp de Filezilla con el que no está familiarizado es
¿Mantener la seguridad del sistema Win2003? Luego use la función de distribución
Cómo utilizar la aplicación de inicio de Win10
Instalación y desinstalación del software de Linux Tutorial básico
Método de creación de la contraseña de la imagen del sistema Win8.1
El sistema Win10 de Apache no puede iniciarse después de instalar XAMPP
Cómo modificar el motor de búsqueda predeterminado del navegador Spartan en Windows 10
Aparece el código de error 0x800F0A12 y la solución
Cómo restaurar el control de volumen de la barra de Win10 a la barra vertical
Uso inteligente del comando netstat para ayudar a que el sistema win7 sea más seguro
Configuración específica de las variables de entorno Java de la configuración de WinXP