Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverチュートリアル >> オペレーティングシステムが侵入された後の修復プロセス

オペレーティングシステムが侵入された後の修復プロセス

  
はじめに:仕事の特殊性のため、これらのことにアクセスする。この記事は単純な侵入を分析するだけで、rootkiのようなカーネルレベルのトロイの木馬は持っていません!マスターは参照目的のみで
テキストのために、笑った:3つのホストを担当する学校のシステム管理者のステーションは、不審なファイルが存在するの下にホストスキンディレクトリを見つけるために、最初に確認したときだけ。おお、ちょうどあなたが仕事にいるとき問題を見つけた、ねえ、よく実行します。このホストが危険にさらされていることは確実です。動作:システムは2003 + iis6.0、NTFSパーティションフォーマットを採用し、許可設定は正常である。 Pcanywhere 10.0リモート管理。このページはPower Article System、バージョン3.51によって供給されています。別のWebサイトを接続して、修正版のネットワークを使用してください。

2出会うテスト、かつての管理者は、Webセキュリティに注意を払っていません。パワード記事には深刻なアップロードの脆弱性があり、パッチは適用されません。動的ネットワークバージョン7.00sp2、しかしそれがハッキングされたことを排除するものではありません。すぐにシステムは徹底的に検査され、トロイの木馬は見つかりませんでした。ホストシステムのセキュリティを決定します。しかし、ウェブ上にたくさんのウェブシェルが見つかりました。 Iis6.0ログ記録なし!3チェックと修復(現在のWebシステムのバックアップを作成します)A時間検索方法:上記のファイルの最も早い作成時刻に従って、この時間を検索して作成および修正します。すべてのファイル不明なgif、jpg、asp、cer、その他の形式のファイルも多数見つかりました。メモ帳でそれを開き、aspトロイの木馬として見つけてください。バックアップ、削除

Bツールの検索方法:手動た後見つけ、アンチウイルスソフトウェアをインストールし、包括的なアンチウイルス、ASPトロイの木馬炎は、他の調査結果のごく一部を除いて。ユーザーを確認してください。例外はありません。 Cドライブを確認してください。ファイルがありません。侵入者がWebのアクセス許可を取得した後、アクセス許可をさらに強化することはしていませんが、隠れたトロイの木馬のインストールを除外していないことを説明します。確認してください。

C時間に基づく検索方法は、いくつかの通常のASPファイルが変更されている見つけます。その中でも、動的記事システム管理ページがコードに挿入され、管理者パスワードがプレーンテキストで保存されます。このコードは、クリアテキストフォーラムのパスワードファイルに似ています。サメ可動トロイの木馬、icefoxワード馬、海の馬に見られる他ので
ASP変更されたファイルには、暗号化されます。

D修復、データベースを抽出するために、このウェブ・バックアップ・システム。削除する数ヶ月前にバックアップしたシステムを復元します。現在のデータベースをインポートします。動的記事アップロードソフトウェアのaspファイルを削除し、アンチインジェクションコードを追加します。すべてのウェブマスターパスワードとすべてのシステム管理者パスワードを変更するpcanywhereのパスワードを変更してipを制限するには、pcanywhereを11.0にアップグレードします。 iis6.0ログレコードを開きます。リンク先のWebサイトは長い間更新されていないため、Web管理者は連絡を取ったり、パスを変更したり、接続を削除したりすることはできません。分析:ホストのアクセス許可設定により、侵入者はアクセス許可を昇格できない可能性があります。 (pcanywhereのパスワードは入手された可能性がありますが、ホストは長期間ロックされたままです。侵入者の技術はまだ浅いと推定されます。)それは彼が残した文書によって分析されます。 webshel​​lの場合、彼はcmdファイルをアップロードしましたが、許可はより良く設定されています。 2003.bat xp3389.exeなどのファイルをアップロードし、サーバーポート3389を開きたい。ただし、許可の問題により、改善することはできません。 Ps:ホストがpcanywhereをインストールすると、3389サービスを開くことができなくなり、そのメインファイルはpcanywhereに置き換えられます。開けられません。他のファイルは、プロセスの表示、サービスのインストールなどのツールです。より高い特権を取得しないと、取得した情報は管理者権限を取得するのに十分ではないと推定されます。注意する必要がある唯一のことは、pcanywhereのパスワードファイルが全員に使用可能であることです。*:Documents and SettingsすべてのUsersApplication DataSymantecでは、pcanywhereパスワードファイル* .cifを含むすべてのユーザーにこのディレクトリが表示されます。見えません。ああ、それをアップグレードしてください。
Windows Serverチュートリアル
Windowsの知識
Windows 2000のセキュリティメンテナンス

コンピュータのセキュリティには、コンピュータのローカルデータの保護だけでなく、ネットワーク上のデータの保護も含まれます。優れたオペレーティングシステムは、コンピュータリソースにアクセスしようとしている
Windows Server 2008のバックアップと復元AD DS

Windows Server 2008には、Windows Serverバックアップと呼ばれるバックアップツールが含まれていますが、このツールはデフォルトではプレインストールされていません。追加が成功
Active Directoryのバックアップと回復(2)

誰かが尋ねるかもしれませんが、それほど多くのデータを含むアクティビティデータベースはありますか。実際、バックアップ中に表示される情報に注目すると、このバックアップには、BOOT情報、Active Di
Windows 2000サービスの実行速度を向上させる

現時点で、マイクロソフトがリリースしたオペレーティングシステムには サービス機能が組み込まれています私たちにとって、使用されない サービスはシステムリソースだけでなく、さらに重要なこともあります。スタ
Windows 2000 Identity File Type

Windows 2000にアプリケーションをインストールすると、通常、プログラムがシステムに登録され、プログラムの機能に応じて対応する拡張子のファイルに関連付けられます。ファイルを関連付けたら、関連付
Windows 2000 Active Directoryの論理構造

Windows 2000は、Microsoftの新世代オペレーティングシステムで、Windows NT 4.0とWindows 9 Xの長所を組み合わせたものです。多くの新しい機能が追加されました。イ
  • Windows Serverのよくある質問
  • サーバー2000
  • サーバー2003
  • サーバー2008
  • Windows Serverチュートリアル

    • Win10のシステム接続アプリケーションストア障害プロンプトエラー0X80072EE2コード障害分析と解決策

    Win7のシステムネットワークアイドル20分自動的に解決する方法を切断する

    win7がタスクバーのインターフェイスを透明にする方法

    無効なプログラムを再利用可能Win 7 play batch uninstall

    Win7エクスプローラにデフォルトでハードディスクのパーティションテーブルを表示させる

    Microsoftの大きな動きWin10デバイスは、マルチシステムのスタートアップを達成すると期待されている

    マウスホイール、Win7のプレイは同じではありません

    Win8はIEブラウザのHTMLエディタをNotepadメソッドに設定します

    Windowsをより安全にする方法

  • Windows XPシステムチュートリアル
  • Windows 7システムチュートリアル
  • Windows 8システムチュートリアル
  • Windows 10システムチュートリアル
  • Windows 2003システムチュートリアル
  • Windows 2008システムチュートリアル
  • Windows Vistaシステムチュートリアル
  • Windowsチュートリアル合成
  • Windows Serverシステムのチュートリアル
  • Linuxシステムチュートリアル
  • コンピュータソフトウェアのチュートリアル
  • Windows NTチュートリアル
    • Copyright © Windowsの知識 All Rights Reserved