删除骇客隐藏帐号

注：下面是一真实的纪录，是我刚进入公司时发生的。今日有一朋友服务器亦发生此故障，特以此文简述处理过程

 

一日，一开发部门同事抱怨一服务器远程登录不进去。还好有备用帐户，发现有不明用户 admin, admin$, jiaozhu$, 并有后门程序 systemram.exe, win.exe 运行， Mcafee 防病毒程序被暂停，且netstat -an发现黑客使用 admin 用户远程登录

 

因服务器仍然使用默认远程端口3389，并运行Serv-U,立即停止Serv-U，修改远程端口为不规则5位数字，立即重起服务器。

 

重起后，再次远程登录；

run regedt32；

修改HKEY_LOCAL_MACHINE\ SAM \ SAM 权限，administrator为完全控制；

删除HKEY_LOCAL_MACHINE\ SAM \ SAM \Domains\Account\Users\Names中不明帐户及HKEY_LOCAL_MACHINE\ SAM \ SAM \Domains\Account\Users中对应类型号；

修改administrator权限为”写入DAC”及”读取控制”

再次重起服务器；

 

删除后门程序；

删除FTP等无需使用的软件；

 

骇客再也没有进来过。事后研究，骇客是通过开发部门同事安装的Serv-U漏洞进去的。6.1版本的Serv-U有严重漏洞，须升级为更高版本或设置Serv-U管理员界面登录密码。