问下 怎么删除带$的隐藏用户 还有 在马能查到他的后门地址
我设置了固定IP 登录远程桌面 为什么 他还能登录我的服务器啊他留的后门怎么才能找到 非得还原系统吗
a
[b]删除代$的隐藏帐户需要在注册表删除,直接通过计算机管理MMC会出错![/b][color=Red]提示:需要在SAM分支上设置下权限 不能不会出现下分支,允许你当前用户完全控制。
[quote]HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names[/quote][/color]
[b]至于你说的设置了固定IP登陆远程桌面,不知道是不是这个意思。
利用防火墙或是IPSEC 只允许固定IP连接远程桌面(3389端口),其他全部拒绝!
结果对方还可以进来,问题2点。[/b]
[color=Red]第一:你设置的策略也没有生效,是不是设置问题!
第二:假设第一点没问题,那么有可能入侵者再你服务器留了后门,比如shift后门,或是直接种植个远程控制的马,等等![/color]
----------------------
建议你先检查web程序,可以利用是时间方法查看文件,排除正常文件和后门。然后重新做下系统。
要是你有开事件审核,这个可以查看下!
[[i] 本帖最后由 梁静茹 于 2008-3-18 02:05 编辑 [/i]] 学习 xiexie~ 如果是通过3389登陆 2楼分析的很详细,建议你检查是否有木马,策略是否生效,后门等 [quote]原帖由 [i]梁静茹[/i] 于 2008-3-18 02:03 发表 [url=http://www.im286.com/redirect.php?goto=findpost&pid=24583229&ptid=2454726][img]http://www.im286.com/images/common/back.gif[/img][/url]
删除代$的隐藏帐户需要在注册表删除,直接通过计算机管理MMC会出错!
提示:需要在SAM分支上设置下权限 不能不会出现下分支,允许你当前用户完全控制。
至于你说的设置了固定IP登陆远程桌面,不知道是不是这 ... [/quote]
页:
[1]