4月21号那天临下班前发生了一次停电事故,由于UPS电池老化,后备电源没坚持多久就挂了,导致所有的服务器断电重启。数小时候登录某台服务器,发现桌面打开了组策略的窗口,初步判断此服务器已经遭人入侵了,遂检查本地用户和组,发现guest用户被激活并提权到administrators组,且不能删除这个administrators组(内置账户不能执行此操作),查看系统日志,发现19号以前的日志都没有了,可见这个入侵者是在19号以前入侵的再启动杀毒软件,发现上传文件目录下被建立了一个av..的文件夹,里面有一个asp文件,这个文件夹不能在资源管理器下进入、查看、删除、但是可以在DOS下拷贝出那个asp文件,这是个加密过的文件,经上网查询,得知是用微软的一款编码软件编过码的,下载解码软件解码后可以看到这是个asp脚本代码,似乎操作了某某session(具体用途还无从得知),通过杀毒软件可以删除这个文件,但是文件夹还是无法删除,于是连同前面用户账户问题一起搁置下来了,只是对guest改名改密及停用处理。
昨日也就是星期天下午开始对这两个未解的问题进行攻关,当然所有的技巧、资料都来自网上,通过查询最终解决了问题,获得了以下经验教训: 1、用户帐号是可以隐藏的,途径就是在注册表SAM-USER下建立一个用户名跟guest不同,但是指向同一个二进制键值(比如都指向了01F5),人为造成帐号读取出错,从而在本地用户和组里隐藏了用户,处理方法是从其他机器导入guest的F和V的值。 2、用户所在的组和组包含的用户必须一致,否则会造成组被隐藏。 3、即使在本地用户和组看不到用户,执行net命令还是可以看到,但是不能添加或者删除组,这个和在图形界面下的结果是一样的,即还是需要对注册表进行修复。 4、每次进行重要的注册表操作时,都应该进行备份!
|