注:下面是一真实的纪录,是我刚进入公司时发生的。今日有一朋友服务器亦发生此故障,特以此文简述处理过程
 
一日,一开发部门同事抱怨一服务器远程登录不进去。还好有备用帐户,发现有不明用户admin, admin$, jiaozhu$, 并有后门程序systemram.exe, win.exe运行,Mcafee防病毒程序被暂停,且netstat -an发现***使用admin用户远程登录
 
因服务器仍然使用默认远程端口3389,并运行Serv-U,立即停止Serv-U,修改远程端口为不规则5位数字,立即重起服务器。
 
重起后,再次远程登录;
run regedt32;
修改HKEY_LOCAL_MACHINE\<?xml:namespace prefix = st1 ns = "Tencent" />SAM\SAM权限,administrator为完全控制
删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中不明帐户及HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users中对应类型号;
修改administrator权限为写入DAC”读取控制
再次重起服务器;
 
删除后门程序
删除FTP等无需使用的软件
 
骇客再也没有进来过。事后研究,骇客是通过开发部门同事安装的Serv-U漏洞进去的。6.1版本的Serv-U有严重漏洞,须升级为更高版本或设置Serv-U管理员界面登录密码。