Windows system >> Conocimiento de Windows >  >> Tutorial del sistema de Windows 2003 >> Tutorial de Windows 2003

El sistema operativo está invadido, varios métodos son fáciles de reparar

  

Hoy compartiremos con usted el proceso de reparación luego de que el sistema operativo haya sido invadido. Este tutorial solo brinda una breve introducción a la reparación posterior a la intrusión, espero usar el sistema. Los amigos son una pequeña referencia y referencia.

Texto:

Al igual que un administrador del sistema en una estación escolar, responsable de 3 hosts, verifique primero, encontrar un host en el directorio de la piel es sospechoso El archivo existe. Oh, acabo de encontrar un problema cuando estás en el trabajo, oye, hazlo bien. Para estar seguro, este host está comprometido.
Operación

:

1 El sistema adopta 2003 + iis6.0, formato de partición NTFS y la configuración de permisos es normal. Pcanywhere10.0 gestión remota. La página está alimentada por Power Article System, versión 3.51. Adjunte otro sitio web y use la versión modificada de la red.

2 La prueba encontró que el administrador anterior no prestó atención a la seguridad web. Los artículos potenciados tienen serias vulnerabilidades de carga y no están parcheados. Red dinámica versión 7.00sp2, pero no descarta que haya sido hackeado. Inmediatamente, el sistema fue inspeccionado a fondo y no se encontró ningún troyano. Determinar la seguridad del sistema host. Pero muchos webshells fueron encontrados en la web, para ser borrados. Iis6.0 no logging!

3 Comprobación de la reparación (copia de seguridad del sistema web actual.)

Un método de búsqueda de tiempo: busque y cree después del tiempo de acuerdo con el tiempo de creación más antiguo del archivo anterior. Todos los archivos. También se encontraron muchos archivos gif, jpg, asp, cer y otros formatos desconocidos. Ábrelo con el Bloc de notas y encuéntralo como un troyano asp. Copia de seguridad, eliminar.

B Método de búsqueda de herramientas: después de la búsqueda manual, instale software antivirus, antivirus completo, además de matar a un pequeño número de troyanos asp, no hay otros hallazgos. Compruebe el usuario, sin excepciones. Compruebe la unidad C, no faltan archivos. Explique que el intruso no mejoró aún más los permisos después de obtener los permisos web, pero no descartó la instalación de más troyanos ocultos. Para ser revisado.

C Según el método de búsqueda de tiempo, algunos archivos asp normales se han modificado. Entre ellos, la página de administración dinámica del sistema de artículos se inserta en el código, y la contraseña del administrador se guarda en texto sin formato. El código es similar al código de texto de contraseña en el foro de texto simple.

En otros archivos asp modificados, se encontró que hay troyanos web de tiburones móviles, troyanos de palabras de icefox, troyanos marinos, etc., todos encriptados.

D Reparar; haga una copia de seguridad de este sistema web y extraiga la base de datos. Eliminar: restaure la copia de seguridad del sistema hace varios meses, verifique, no hay ningún troyano. Importe la base de datos actual. Elimine el archivo asp del software dinámico de carga de artículos y agregue el código anti-inyección. Modifique todas las contraseñas de webmaster y modifique todas las contraseñas de administrador del sistema. Actualice pcanywhere a 11.0 para modificar las contraseñas de pcanywhere y limitar la ip. Abra el registro de registro iis6.0. Debido a que el sitio web vinculado no se ha actualizado durante mucho tiempo, el administrador de la web no puede ponerse en contacto, cambiar la ruta, eliminar la conexión y ahorrar.

Análisis: debido a la configuración de permisos del host, es posible que el intruso no pueda aumentar los permisos.
(Es posible que se haya obtenido la contraseña de pcanywhere, pero el host permanece bloqueado durante mucho tiempo. Se estima que la tecnología del intruso todavía es superficial). Se analiza mediante los documentos que dejó. En el caso de webshell, subió el archivo cmd, pero los permisos están mejor configurados, lo que se estima que es demasiada información. Suba 2003.bat xp3389.exe y otros archivos, desee abrir el puerto del servidor 3389. Sin embargo, debido a problemas de permisos, no se puede mejorar. Ps: Si un host instala pcanywhere, no podrá abrir el servicio 3389 y su archivo principal será reemplazado por pcanywhere. No se puede abrir. Otros archivos son herramientas como procesos de visualización, instalación de servicios, etc. Se estima que sin obtener privilegios más altos, la información obtenida no es suficiente para obtener derechos de administrador. Lo único que se debe tener en cuenta es que el archivo de contraseñas de pcanywhere está disponible para todos. En *: Documentos y configuracionesA todos los usuarios Aplicación DataSymantec, este directorio es visible para todos, incluido el archivo de contraseñas de pcanywhere * .cif, hay un visor de contraseñas en la red, pero la versión 11.0 Incapaz de ver. Oh, actualízalo.

Tutorial de Windows 2003
Conocimiento de Windows
Implemente fácilmente la restauración del uso compartido de la red en Win 2003

                 Todos están familiarizados con el uso compartido de la red. Todos saben que está ba
El novato debe ver: Explique las características del clúster de Exchange 2003

                 En términos simples, los servidores de Exchange se pueden utilizar para diseñar sis
Prevención de ataques de piratas informáticos El uso de Win 2003 viene con un servidor de seguridad

Hoy en día, en muchas discusiones que involucran problemas de seguridad informática, a menudo mencio
Licencia de servicio de terminal win2003 fácil de descifrar sin software de terceros

                 Windows 2003 Server es la seguridad de la seguridad del sistema Windows2003, pero e
Master recovery win2003 domain controller tiene una receta

Después de que muchas personas hayan instalado el sistema, hay un buen sistema de copia de seguridad
Implementar fácilmente el servicio DHCP de Windows 2003

                 El tamaño de la red administrada en la mañana se está expandiendo rápidamente y el

  • Habilidades del sistema Windows2003
  • Tutorial de Windows 2003
  • Preguntas frecuentes de Windows 2003

    • Cómo utilizar la aplicación de inicio de Win10

    La tarjeta de red inalámbrica Windows8 se ha encendido y la luz inalámbrica está encendida pero no puede encontrar la señal inalámbrica cómo hacerlo

    Instalación y desinstalación del software de Linux Tutorial básico

    Método de creación de la contraseña de la imagen del sistema Win8.1

    El sistema Win10 de Apache no puede iniciarse después de instalar XAMPP

    Cómo modificar el motor de búsqueda predeterminado del navegador Spartan en Windows 10

    Aparece el código de error 0x800F0A12 y la solución

    Cómo restaurar el control de volumen de la barra de Win10 a la barra vertical

    Uso inteligente del comando netstat para ayudar a que el sistema win7 sea más seguro

    Configuración específica de las variables de entorno Java de la configuración de WinXP

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved