微点交流论坛

标题: 网络版主防管理员账户被未知用户关闭 [打印本页]

作者: Loong 时间: 2010-6-24 21:37 标题: 网络版主防管理员账户被未知用户关闭

经过不懈努力，终于在上级部门中搭建了一个微点网络版，运行了20来天，悲剧了，服务器被攻击，原来的管理员账户被攻击后禁用，并且把原来的账户都停用或者删除了（网页服务需要输入用户名和密码）。

微点的服务是一直运行着的，现在还可以远程管理微点，但是进入不了服务器进行管理。

悲剧啊，没法交差了。怎样解决啊？

作者: Legend 时间: 2010-6-24 21:45
根据您的描述信息分析是系统的管理员账户密码错误，建议您如果可以到服务器现场尝试使用具有解除windows管理员账号密码功能的pe光盘进行操作。

作者: Loong 时间: 2010-6-24 21:50
是系统的管理员被修改了。真是悲剧啊，主防一直开着的，怎会被攻击呢，而且没有网络入侵记录。郁闷啊。

推荐一个回复管理员密码的软件

网络版的客服QQ是多少？

作者: images 时间: 2010-6-24 21:50
楼主的服务器主要是做什么用的？网站服务器、邮件、还是FTP等？
尝试百度下载个pe把管理员账号密码清除试试看。

作者: Legend 时间: 2010-6-24 21:52

Quote:

Originally posted by Loong at 2010-6-24 21:50:
是系统的管理员被修改了。真是悲剧啊，主防一直开着的，怎会被攻击呢，而且没有网络入侵记录。郁闷啊。

推荐一个回复管理员密码的软件

网络版的客服QQ是多少？

建议您联系微点管理员qq:466248167帮您具体分析。

作者: Loong 时间: 2010-6-24 21:55
网站服务器、FTP

nnd，打开网站要输入账户和密码，估计是相关的用户被禁用了

ftp还正常

后来远程扫描有9个木马

想不通是怎样被渗透的？主防一直开着的，一点反应也没有

作者: images 时间: 2010-6-24 21:57
有可能是你的网站程序存在漏洞，被黑客利用了。你网站服务器怎么搭建的？

作者: Loong 时间: 2010-6-24 21:59
2 Root EDU 服务器 192.168.0.38 2010-06-23 4:38:23 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 用户取消
3 Root EDU 服务器 192.168.0.38 2010-06-23 4:38:33 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 成功
4 Root EDU 服务器 192.168.0.38 2010-06-23 4:39:24 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 用户取消
5 Root EDU 服务器 192.168.0.38 2010-06-23 4:39:30 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 用户取消
6 Root EDU 服务器 192.168.0.38 2010-06-23 4:39:34 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 用户取消

这是第一阶段的日志

服务器用的是asp的，还有一个测试的康盛论坛

作者: Loong 时间: 2010-6-24 22:02
10 Root EDU 服务器 192.168.0.38 2010-06-23 20:10:04 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 用户取消
11 Root EDU 服务器 192.168.0.38 2010-06-23 20:10:14 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 用户取消
12 Root EDU 服务器 192.168.0.38 2010-06-23 20:10:27 本地:主动防御木马 HackTool.Win32.TCPScan.d C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\端口检测\S.DLL 成功
13 Root EDU 服务器 192.168.0.38 2010-06-24 7:54:03 远程:病毒扫描木马 Trojan.Win32.VB.fni C:\Documents and Settings\Administrator\Local Settings\Temp\mask.exe 成功
14 Root EDU 服务器 192.168.0.38 2010-06-24 7:55:04 远程:病毒扫描木马 Trojan-Dropper.Win32.Agent.adkq C:\Documents and Settings\Administrator\Local Settings\Temp\saber.exe 成功
15 Root EDU 服务器 192.168.0.38 2010-06-24 7:58:54 远程:病毒扫描木马 Trojan.Win32.Agent.lpc C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\O5Q30DYJ\setup[1].exe 成功
16 Root EDU 服务器 192.168.0.38 2010-06-24 8:02:47 远程:病毒扫描木马 Trojan-Downloader.Win32.Banload.kn C:\nengbang\Temp\iesafe\NBChkvir.dll 成功
17 Root EDU 服务器 192.168.0.38 2010-06-24 8:06:19 远程:病毒扫描木马 Trojan-PSW.Win32.QQPass.lsm C:\Program Files\Common Files\Microsoft Shared\MSInfo\atmQQ2.dll 成功
18 Root EDU 服务器 192.168.0.38 2010-06-24 8:07:05 远程:病毒扫描木马 Trojan.Win32.Agent.lpc C:\Program Files\Internet Explorer\Down(1).exe 成功
19 Root EDU 服务器 192.168.0.38 2010-06-24 8:07:05 远程:病毒扫描木马 Trojan.Win32.Agent.lpc C:\Program Files\Internet Explorer\Down(2).exe 成功
20 Root EDU 服务器 192.168.0.38 2010-06-24 8:11:37 远程:病毒扫描木马 Backdoor.Win32.Hupigon.ihd C:\Program Files\_smsServer.exe 成功
21 Root EDU 服务器 192.168.0.38 2010-06-24 8:23:46 远程:病毒扫
描木马 Backdoor.Win32.Huigezi.ssl C:\WINDOWS\svchost.exe 成功

这是后来的远程扫描

网站服务器仅仅用你们的还是不行？还需要搭配什么？

作者: images 时间: 2010-6-24 22:02
怎么有好多用户取消的？

作者: jaber 时间: 2010-6-24 22:03
192.168.0.38这个是服务器的IP么？

作者: Loong 时间: 2010-6-24 22:03

Quote:

Originally posted by jaber at 2010-6-24 22:03:
192.168.0.38这个是服务器的IP么？

是的

作者: Loong 时间: 2010-6-24 22:04

Quote:

Originally posted by images at 2010-6-24 22:02:
怎么有好多用户取消的？

估计是被远程控制了

作者: images 时间: 2010-6-24 22:09
4点多不会是你自己取消的吧？你的服务器asp是iis+asp+sql吗？asp貌似不是很安全的说

作者: Loong 时间: 2010-6-24 22:12

Quote:

Originally posted by images at 2010-6-24 22:09:
4点多不会是你自己取消的吧？你的服务器asp是iis+asp+sql吗？asp貌似不是很安全的说

C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\

这个应该就是入侵的账户

问题是直到发作，以前一直没有任何提示

本月网络入侵数统计
未知入侵：1200
网络入侵数最多的五台计算机
192.168.1.200 (PZH-FWQ): 1200

这是另外一台机子，nnd，扫描这么多，一点问题没有

作者: images 时间: 2010-6-24 22:18
没有问题证明网络入侵的攻击包被拦截了，这台估计是被sql注入了，需要你加强sql的管理。sql注入与网络入侵不同，网络入侵一般采用的操作系统的漏洞，sql注入则不同。

作者: Loong 时间: 2010-6-24 22:31

Quote:

Originally posted by images at 2010-6-24 22:18:
没有问题证明网络入侵的攻击包被拦截了，这台估计是被sql注入了，需要你加强sql的管理。sql注入与网络入侵不同，网络入侵一般采用的操作系统的漏洞，sql注入则不同。

看着那个入侵的用户名，很像啊

作者: images 时间: 2010-6-24 22:31

Quote:

Originally posted by Loong at 2010-6-24 22:12:

C:\DOCUMENTS AND SETTINGS\SQLDEBUGGE\桌面\

这个应该就是入侵的账户

问题是直到发作，以前一直没有任何提示

本月网络入侵数统计
未知入侵：1200
网络入侵数最多的五台计算机
192.168.1.200 ( ...

帮你baidu了下，很有可能是被SQL注入了，看下面信息
1、查看sqldebugger用户，属于哪个组，正常情况下应该属于users组，如果入侵者用这个用户登录你的系统，他要把这个用户放到administrators这个组中，也有可能放到Remote Desktop Users这个组中：
2、C:\Documents and Settings目录下不应该有以sqldebugger为文件名的文件夹，如果有，说明很可能有人利用这个用户远程登录你的系统了。
[转自] http://www.cnking.org/post/353.html

作者: meihaosuda 时间: 2010-6-24 22:37
从日志来看，主防报了的，结果被取消了，黑客的远程控制搞的鬼。

作者: Loong 时间: 2010-6-24 22:39
现在的问题是用哪个软件恢复管理员账户比较好，现在登录不到系统中去了

作者: images 时间: 2010-6-24 22:44

Quote:

Originally posted by Loong at 2010-6-24 22:39:
现在的问题是用哪个软件恢复管理员账户比较好，现在登录不到系统中去了

用版主说的pe光盘试试看吧，网上可以下载到，进入后有程序可以直接把管理员密码取消或者新建管理员权限的账户。

作者: Loong 时间: 2010-6-24 22:47

Quote:

Originally posted by images at 2010-6-24 22:44:

用版主说的pe光盘试试看吧，网上可以下载到，进入后有程序可以直接把管理员密码取消或者新建管理员权限的账户。

有支持scsi硬盘的pe否？

作者: images 时间: 2010-6-24 23:04
很多都支持，只要有scsi的驱动即可，网上搜索下吧。

作者: Loong 时间: 2010-6-24 23:31

Quote:

Originally posted by images at 2010-6-24 23:04:
很多都支持，只要有scsi的驱动即可，网上搜索下吧。

谢谢

作者: f8312519 时间: 2010-6-25 20:11
都是高手啊

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn