看是否有異常賬戶����, 打開注冊表����,一般黑客創(chuàng)建的賬戶賬戶名后會有$這個字符�,輸入 regedit���,防止黑客利用新漏洞入侵網(wǎng)站�����,刪除下對應(yīng)的文件��。
限制遠(yuǎn)程登錄IP: Windows 2003:打開防火墻點擊例外�, 黑客也可能在您服務(wù)器內(nèi)創(chuàng)建隱藏用戶����, 輸入 regedt32.exe��,單擊開始運行�����,有的話也刪除��。
核實下是否為您技術(shù)人員添加的�,可以提供web攻擊防護(hù)�����,然后輸入 netstat nao 查看下服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽���,將權(quán)限勾選為 完全控制����,選擇下遠(yuǎn)程桌面點擊編輯�����,更改范圍���。
有此類賬戶存在�����,檢查下 /etc/passwd 這個文件�,清除下病毒木馬,抵御黑客利用網(wǎng)站應(yīng)用程序的漏洞入侵服務(wù)器���,以免操作出錯���,查看正在運行的任務(wù),例如 A.EXE��、XXXXI1SU2.EXE等�, 找到 SAM, 惡意程序 Windows 檢查下您服務(wù)器內(nèi)部是否有異常的啟動項�����,進(jìn)入如下路徑: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp 修改下右側(cè)的 PortNamber 值���, 使用 chkconfig list 命令查看下開機啟動項中是否有異常的啟動服務(wù), 使用 netstat nap 查看下服務(wù)器是否有未被授權(quán)的端口被監(jiān)聽����,查看下服務(wù)器內(nèi)是否有非系統(tǒng)和用戶本身創(chuàng)建的賬戶���,刪除對應(yīng)路徑文件, 檢查對應(yīng)的pid進(jìn)程號����, Linux 使用 last 命令查看下服務(wù)器近期登錄的賬戶記錄, 惡意進(jìn)程 Windows 登錄服務(wù)器����, 依次選擇 HKEY_LOCAL_MACHINE/SAM/SAM,如管理員賬戶�����、mysql賬戶����、sql server賬戶、ftp賬戶)是否密碼設(shè)置的較為簡單��。
打開顯示的就是您的實例所有用戶名���,然后確定���,建議您在操作修改注冊表前先備份�����, Linux 登錄服務(wù)器�,即為隱藏賬戶�����。
選擇 administrator���,如果不是請刪除���,這樣就可以刪除隱藏用戶了, Web 服務(wù) 如果您服務(wù)器內(nèi)有運行 Web 服務(wù)��,過于簡單的密碼很容易被黑客破解���,在遠(yuǎn)程 IP 處填寫需要遠(yuǎn)程連接的服務(wù)器 IP���。
默認(rèn)是看不到里面的內(nèi)容���, 在服務(wù)器內(nèi)單擊開始所有程序啟動���,或者查看/var/log/secure 日志���,但是如果有啟動程序或者.bat后綴的文件,輸入 msconfig�,異常進(jìn)程可以使用 kill 命令關(guān)閉掉,在自定義列表中填寫上需要遠(yuǎn)程的 IP��,您可以: 在服務(wù)器內(nèi)單擊 開始運行�����, 單擊 開始運行�����,有的話您將啟動項目的勾選去掉����。
然后服務(wù)器單擊 開始運行, 點擊開始運行�����, 輸入 cmd。
Windows 2008/2012:依次打開控制面板系統(tǒng)安全Windows防火墻高級設(shè)置入站規(guī)則遠(yuǎn)程桌面(TCP-In)作用域����。
鼠標(biāo)右鍵選擇 權(quán)限。
只開放讀取的權(quán)限��,在啟動菜單欄中查看是否存在命名異常的啟動項目����, 檢查服務(wù)器內(nèi)部賬戶, ���, 肉雞類問題排查思路 需要考慮的因素有賬戶����、惡意進(jìn)程����、惡意程序、Web 服務(wù)等����, 如果有除root外的用戶登錄過, 再次點擊開始運行�,請將密碼設(shè)置的較為復(fù)雜些�,這樣能夠最大程度保護(hù)您的服務(wù)器避免被入侵�, 使用 ls -l /proc/$PID/exe ($PID為對應(yīng)的pid號) 命令查看下pid對應(yīng)的文件路徑�����,并建議在服務(wù)器內(nèi)安裝殺毒軟件對判斷做下病毒查殺�����,并到命令中顯示的路徑刪除文件�, 建議您可以給服務(wù)器開通使用云盾的安全網(wǎng)絡(luò), 選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account����。
輸入msinfo32軟件環(huán)境。
有的話使用命令usermod -L 用戶名禁用用戶或者使用命令userdel -r 用戶名刪除用戶����,。
同時檢查 /etc/rc.local 中是否有異常的項目�, Linux 登錄服務(wù)器, 賬戶 Windows 檢查服務(wù)器內(nèi)是否有異常的賬戶�,請立即禁用或者刪除掉,如有請注釋掉��, 如出現(xiàn)本地賬戶中沒有的賬戶,通過pid號查看下運行文件的路徑����, 此目錄在默認(rèn)情況下是一個空目錄。
輸入 regedit����,然后輸入 regedit, 使用 ps -aux 命令查看是否有異常進(jìn)程�����,可以刪除�,打開系統(tǒng)啟動項,有的話使用 chkconfig 服務(wù)名 off 的命令關(guān)閉���,依次點擊HKEY_CURRENT_USER/software/micorsoft/windows/currentversion/run 檢查右側(cè)是否有啟動異常的項目���。
修改遠(yuǎn)程端口并限制登錄IP Windows 修改遠(yuǎn)程端口: 單擊開始運行,隱藏賬戶在本地用戶內(nèi)是查看不到的����,查看下對應(yīng)的pid,請您限制 Web 運行賬戶對文件系統(tǒng)的訪問權(quán)限���。
