伺服器被入侵後的一些處理辦法

(1)系統帳號檢查

透過本地使用者和組(lusrmgr.msc)檢視否存在多個管理員或克隆使用者。多餘的管理員修改密碼後全部禁止，克隆帳號會繼承原使用者的資料，比如帳號說明之類的很好區分。開啟regedt32 給HKEY_LOCAL_MACHINE\SAM\SAM加上administrators全權(一般駭客已經幫你完成了這步)就能看到SAM項下的內容。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下可以看到使用者的列表，預設的二進位制鍵值記錄的是帳號對應的UID，例如0x1f4。UID列表對應於HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 這裡是帳號的許可權資訊，例如0x1f4對應000001F4項。找到克隆帳號修改掉他的UID將其刪除，還原登錄檔許可權。

(2)程式檢查

可以透過第三方工具冰刃(iecsword)進行程式檢查。發現可疑的程式全部關閉(system32\svchost.exe,lsass.exe,winlogon.exe,csrss.exe為關鍵的系統程式，確認程式檔案路徑的情況下不要去關閉。) 。如是冰刃中提示存在但程式管理器中無法看到的，在該程式的“模組資訊中“找出該程式是插入到哪個程式中的並將其“強制解除“(有可能會系統自動重啟，如插入的是系統的關鍵程式，需事先EVERYONE拒絕掉該程式檔案後再強制解除，DLL檔案反註冊後再執行之前的操作)。

(3)系統環境檢查

檢查 C:\Documents and Settings\AllUsers\Documents

C:\Documents and Settings\AllUsers\Application Data

C:\wmpub\wmiislog

下是否有可疑程式。

C:\Documents and Settings下是否有其他使用者的目錄。如果存在則進入該使用者目錄搜尋.exe .com *.bat可能會找到一些登入後用過的工具以便分析入侵過程。

C:\Documents and Settings\xxxxx\LocalSettings目錄下能找到該使用者一些訪問的快取記錄也有助於分析。

檢查當前埠使用狀態，被動模式的木馬會監聽埠來等待連線。可以透過netstat -anb |more 來獲取當前埠的使用狀態和對應的程式名(只用於03系統)。

windows目錄和system32目錄右擊→檔案檢視→詳細資訊→按日期排列後找出最近建立的exe和dll檔案對其進行排查。

檢查防毒軟體的日誌記錄，一般透過WEB進行提權的，獲得上傳許可權後會透過某個站點上傳WEB木馬這時候往往可以從防毒軟體的日誌中發現一些記錄。入侵後上傳的程式很有可能被當做病毒清除。透過日誌可以獲得木馬路徑以及木馬程式名稱。

檢查cmd.exe net.exe net1.exe cacls.exe regedit.exe regedt32.exe程式的許可權是否有被修改。

檢查系統啟動組(msconfig)以及組策略(gpedit.msc)。組策略中的管理模版→系統→登入要注意。

(4)服務程式的檢查

檢查SERV-U使用者是否有系統管理員許可權。搜尋SERV-U配置檔案ServUDaemon.ini 關鍵字為“system”。如發現Maintenance=System則此使用者的許可權存在問題，更換SERV-U除兩個.ini外的全部檔案以防止捆綁，完成後給SERV-U加上管理密碼。

檢查SQL SERVER是否有system Administrators角色的使用者，是否有使用者擁有多個庫的訪問許可權。

MYSQL備份好MYSQL庫檢查USER表。表中每行代表一個使用者的許可權，發現與ROOT內容相同的行一律刪除。

(5)檢查完成後的處理

修復和更新可能受損的防毒軟體，重新配置安全環境。