先分析入侵者都做了些什么！

　　记得为了方便在他机器上装了RADMIN，登录了一下，密码也不对了，看来是有人上去了，而且入侵者还拿到了系统管理员权限。

　　跑到机房，拿出ERD COMMANDER，改了密码，重启，进入系统后第一步升级帐户，多了一个hud$的用户，administrators组，删除，再看guest用户虽然禁用状态，但是说明内容不对了。仔细一看，administrators组，同样删除。接着看了下其他用户，组别都正常，把远程连接权限都去掉后，帐号方面算是处理完了。

　　接着看看各个硬盘C:\下面有如下文件

　　sqlhello.exe

　　sqlhello2.exe

天极软件专题专区精选 Windows Vista专区 POPO专区 QQ专区　QQ挂机 注册表应用专区 Flash MX 视频教程 Photoshop视频教程 网页设计视频教程 照片处理数字暗房 PPT动画演示教程 Excel动画教程集 Word动画演示教程 Google专区 特洛伊木马专区 黑客知识教程专区 防火墙应用专区 了解Web2.0 Windows API开发专区 网络编程专区 VB数据库编程专区 图像处理与多媒体编程
　　result.txt

　　1.bat

　　2.bat

　　编辑了下1.bat，里面内容都是扫描整个网段。看来是有人拿这台机器当跳板了，移动所有文件到其他目录。

　　接着审计应用程序，考虑这台机器的用途和环境。

　　是WINDOWS2000+IIS+SERV-U

　　先看SERV-U审计用户，看看有没有别人加system权限的FTP用户，查看下来没有。

　　执行权限也没有，锁定目录状态都是对的。

　　看了下没有记录日志。

　　然后看了版本。

123下一页阅读全文