服务器被黑,一般都能在管理--用户中都能找到对应的异常用户。这次服务器被攻击在用户目录中没有找到相应的异常用户,相当郁闷和疑惑。经过研究发现原来异常的管理员账户被隐藏了,下面就跟大家分享一下隐藏管理员账户的方法:
众所周知:
服务器的用户我们都可以在“管理--用户” 下面看到:我这有四个用户(administrator,guest,homegroupuser,jiangfeng)。
但是大家不知道的是:在注册表的HKEY_LOCAL_MACHINE--SAM--SAM--Domains--Account--USERS下面同样有着用户的信息:
现在我们开始建立隐藏账户:
1. 打开命令行窗口:cmd
net user ceshi 123qwe!@# /add
2. 查看 “管理--用户” 下面多了一个 “ceshi” 的账户。查看注册表的Names下 多了个 名为 ceshi 的文件和文件名的最后三位为 ceshi 的类型值的文件。
3. 如果我们需要将 “ceshi” 这个用户名的权限提升为管理员权限的话,只需将 管理员的SID里面的信息 (即为administrator的文件夹对应的以0开头的文件夹里面F文件内的信息)复制到 “ceshi” 的相对于位置。
4. 此时 “ceshi” 用户已经具有了管理员权限。
5. 我们导出 “ceshi” 用户的注册表和包含 “ceshi”用户管理员信息的注册表。得到两个后缀为.reg的文件。
6. 命令行内删除用户。
net user ceshi /del
7. 查看注册表内和管理目录下现在都已经没有 “ceshi” 这个账户的信息了。
8. 现在我们再次运行刚刚导出的两个注册表文件。
9. 现在我们发现在注册表内的我们生成了 “ceshi” 的管理员账户信息,在管理--用户内无相关的 “ceshi” 信息,我们使用net user 命令查看已无相关信息。
10. 同时 “ceshi” 这个账户确实能够做到所有管理员权限账户能完成的所有事情。
总结: 这个是很危险的,往往黑客利用这个性能获取管理员权限后删除 用户内的相关信息,一起到神不知鬼不觉的效果。