Tag Archives: 注册表

【转载】删除骇客隐藏帐号-(serv-U的ftp服务器软件漏洞引发的真实事件)

Posted on 2013/04/24 by 李 伟斌

转载自: http://22494.blog.51cto.com/12494/10653/ 注:下面是一真实的纪录,是我刚进入公司时发生的。今日有一朋友服务器亦发生此故障,特以此文简述处理过程 一日,一开发部门同事抱怨一服务器远程登录不进去。还好有备用帐户,发现有不明用户admin, admin$, jiaozhu$, 并有后门程序systemram.exe, win.exe运行,Mcafee防病毒程序被暂停,且netstat -an发现黑客使用admin用户远程登录 因服务器仍然使用默认远程端口3389,并运行Serv-U,立即停止Serv-U,修改远程端口为不规则5位数字,立即重起服务器。 重起后,再次远程登录; run regedt32; 修改HKEY_LOCAL_MACHINE\SAM\SAM权限,administrator为完全控制; 删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中不明帐户及HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中对应类型号; 修改administrator权限为”写入DAC”及”读取控制” 再次重起服务器; 删除后门程序; 删除FTP等无需使用的软件; 骇客再也没有进来过。事后研究,骇客是通过开发部门同事安装的Serv-U漏洞进去的。6.1版本的Serv-U有严重漏洞,须升级为更高版本或设置Serv-U管理员界面登录密码。

Posted in Windows | Tagged , , , , , | Leave a comment

删除windows系统中的默认共享实现系统安全性

Posted on 2011/04/01 by 李 伟斌

Windows 2000/XP/2003版本的操作系统提供了默认共享功能,这些默认的共享都有“$”标志,意为隐含的,包括所有的逻辑盘(C$,D$,E$……)和系统目录Winnt或Windows(admin$)。    带来的问题: 微软的初衷是便于网管进行远程管理,这虽然方便了局域网用户,但对我们个人用户来说这样的设置是不安全的。如果电脑联网,网络上的任何人都可以通过共享硬盘,随意进入你的电脑。所以我们有必要关闭这些共享。更为可怕的是,黑客可以通过连接你的电脑实现对这些默认共享的访问。    关闭这些默认共享的方法很多,笔者整理了五种,相信总有一种适合您。    小知识:    访问WindowsXP默认共享非常简单:一是通过“开始”→“运行”,输入“\计算机名或IP地址\D$或admin$”(不包括两侧的引号,下同);二是使用IE等浏览器,在地址栏中输入上述格式或“file://10.80.34.33/d$”。 访问默认共享    一、右键“停止共享”法    到“计算机管理”窗口中某个共享项(比如H$)上右键单击,选择“停止共享” 并确认后就会关闭这个共享,它下面的共享图标就会消失,重复几次所有的项目都可以停止共享。   注意:但这种方法治标不治本,如果机器重启的话,这些共享又会恢复。此法比较适合于永不关闭的服务器,简单而且有效。    二、批处理自启动法    打开记事本,输入以下内容(记得每行最后要回车):    net share ipc$ /delete    net share admin$ /delete    net share c$ /delete    net share d$ … Continue reading

Posted in Windows, 计算机网络 | Tagged , , , , , | 1 Comment