伺服器被入侵後的一些處理辦法
(1)系統帳號檢查
透過本地使用者和組(lusrmgr.msc)檢視否存在多個管理員或克隆使用者。多餘的管理員修改密碼後全部禁止,克隆帳號會繼承原使用者的資料,比如帳號說明之類的很好區分。開啟regedt32 給HKEY_LOCAL_MACHINE\SAM\SAM加上administrators全權(一般駭客已經幫你完成了這步)就能看到SAM項下的內容。
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下可以看到使用者的列表,預設的二進位制鍵值記錄的是帳號對應的UID,例如0x1f4。UID列表對應於HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 這裡是帳號的許可權資訊,例如0x1f4對應000001F4項。找到克隆帳號修改掉他的UID將其刪除,還原登錄檔許可權。
(2)程式檢查
可以透過第三方工具冰刃(iecsword)進行程式檢查。發現可疑的程式全部關閉(system32\svchost.exe,lsass.exe,winlogon.exe,csrss.exe為關鍵的系統程式,確認程式檔案路徑的情況下不要去關閉。) 。如是冰刃中提示存在但程式管理器中無法看到的,在該程式的“模組資訊中“找出該程式是插入到哪個程式中的並將其“強制解除“(有可能會系統自動重啟,如插入的是系統的關鍵程式,需事先EVERYONE拒絕掉該程式檔案後再強制解除,DLL檔案反註冊後再執行之前的操作)。
(3)系統環境檢查
檢查 C:\Documents and Settings\AllUsers\Documents
C:\Documents and Settings\AllUsers\Application Data
C:\wmpub\wmiislog
下是否有可疑程式。
C:\Documents and Settings下是否有其他使用者的目錄。如果存在則進入該使用者目錄搜尋.exe .com *.bat可能會找到一些登入後用過的工具以便分析入侵過程。
C:\Documents and Settings\xxxxx\LocalSettings目錄下能找到該使用者一些訪問的快取記錄也有助於分析。
檢查當前埠使用狀態,被動模式的木馬會監聽埠來等待連線。可以透過netstat -anb |more 來獲取當前埠的使用狀態和對應的程式名(只用於03系統)。
windows目錄和system32目錄右擊→檔案檢視→詳細資訊→按日期排列後找出最近建立的exe和dll檔案對其進行排查。
檢查防毒軟體的日誌記錄,一般透過WEB進行提權的,獲得上傳許可權後會透過某個站點上傳WEB木馬這時候往往可以從防毒軟體的日誌中發現一些記錄。入侵後上傳的程式很有可能被當做病毒清除。透過日誌可以獲得木馬路徑以及木馬程式名稱。
檢查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程式的許可權是否有被修改。
檢查系統啟動組(msconfig)以及組策略(gpedit.msc)。組策略中的管理模版→系統→登入要注意。
(4)服務程式的檢查
檢查SERV-U使用者是否有系統管理員許可權。搜尋SERV-U配置檔案ServUDaemon.ini 關鍵字為“system”。如發現Maintenance=System則此使用者的許可權存在問題,更換SERV-U除兩個.ini外的全部檔案以防止捆綁,完成後給SERV-U加上管理密碼。
檢查SQL SERVER是否有system Administrators角色的使用者,是否有使用者擁有多個庫的訪問許可權。
MYSQL備份好MYSQL庫檢查USER表。表中每行代表一個使用者的許可權,發現與ROOT內容相同的行一律刪除。
(5)檢查完成後的處理
修復和更新可能受損的防毒軟體,重新配置安全環境。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31554777/viewspace-2215532/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux伺服器被入侵後的處理過程Linux伺服器
- 伺服器被攻擊的基本處理辦法伺服器
- 防止網站被入侵攻擊的五個辦法網站
- 分享一些路沿石劃傷處理辦法RHY
- 道路千萬條,安全第一條——一次伺服器被入侵的處理經過伺服器
- PowerShell的異常處理辦法
- 網站被入侵 篡改程式碼劫持快照的解決辦法網站
- 【知識分享】伺服器被入侵後需要怎麼操作伺服器
- 網站伺服器被入侵後的日誌查詢與分析網站伺服器
- 【問題處理】MySQL忘記root密碼的處理辦法MySql密碼
- 如何排查linux伺服器被入侵Linux伺服器
- 磁碟IO過高時的處理辦法
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- vnc遠端連線黑屏,vnc連線Linux後黑屏的處理辦法VNCLinux
- 伺服器被攻撃, 該如何處理?伺服器
- Linux伺服器無法刪除檔案怎麼辦?如何處理?Linux伺服器
- oracle密碼過期處理辦法Oracle密碼
- 合成實驗中,十三種後處理方法:實驗室常用13種後處理方法、故障及解決辦法
- mListView.setOnItemClickListener的函式失效的處理辦法。View函式
- 處理資料缺失的結構化解決辦法
- 怎麼檢測伺服器是否被入侵伺服器
- Jenkins臨時空間不足處理辦法Jenkins
- 分享一次伺服器被挖礦的處理方法伺服器
- Microsoft SQL伺服器被駭客入侵 頻寬被竊取ROSSQL伺服器
- oracle sysaux表空間滿了處理辦法OracleUX
- 網站漏洞修復公司處理網站被篡改跳轉到其他網站的解決辦法網站
- 本地無法複製檔案到windows server 系統的處理辦法WindowsServer
- 伺服器遭受攻擊後怎麼處理伺服器
- mysql 4.1.7忘記資料庫密碼的處理辦法MySql資料庫密碼
- 阿里雲ECS磁碟擴容不生效處理辦法阿里
- AndroidStudio載入gradle緩慢問題處理辦法AndroidGradle
- 點贊處理的一些小技巧
- 給別人做的網站遭遇黑客入侵被篡改怎麼辦網站黑客
- 異常處理:IDEA Git 修改後的檔案無法CommitIdeaGitMIT
- 談一談幾種處理 JavaScript 非同步操作的辦法JavaScript非同步
- git上傳檔案時報錯常見的處理辦法Git
- 蒙特卡羅方法:當丟失確定性時的處理辦法