|
 | 作者: gdwebinfo [gdwebinfo]
 论坛用户 |
登录 |
我是程序员,在公司暂时没有人管理服务器的情况下暂行代理管理之职。这段时间发现经常有人远程登陆服务器。密码刚刚改过又被人登陆上 来了,害我自己都登陆不上去。只好用 sa 密码的 xp_cmdshell 'iisreset/reboot'重新启动方能登陆。这些人真是太猖獗了,请问各位大侠 有什么办法帮帮忙吗? 服务器配置: (戴尔) win2000 + sq3 + sql2000(非1433端口) + 3389端口(远程登陆); 使用措施有: 1. 用IP安全策略关闭了不必要的端口,只有(21,25,110,80,3389)端口。 2. 关闭了默认共享。 3. IIS也去掉了默认的那些管理文档。 4. 程序中也没有使用sa密码连结数据库。 5. 密码15位以上,加了一些特殊字符。 我想,刚刚改了密码不可能这么快就破解了吧,可能是机器有后门程序还是什么其它的,发现注册表run里有如下资料: 名称 类型 数据 AtiPTA REG_SZ Atiptaxx.exe AuCaption REG_SZ DSA OMSA Reminder AuFlag REG_DWORD 0x00000002(2) 以前都没有注意到是否有这些东西。我在网上查了一下,也查不到这些名称的相关说明。想删除它,又担心是戴尔品牌机安装时自带的一些什 么东西。其中在 \winnt\system32 下面找到 "Atiptaxx.exe"文件,176k,但运行无反应。 想请教高手: 以你们的经验来看,这些注册表的东西是不是后门程序?如果是,应该用什么办法解决呢?先行谢过了! |
| 地主 发表时间: 10/18 00:00 |
 | 回复: sky2003 [sky2003]  论坛用户 |
登录 |
|
删 |
| B1层 发表时间: 10/18 12:15 |
| 回复: sky2003 [sky2003] 论坛用户 |
登录 |
|
http://www.20cn.net/cgi-bin/club/guest_show.pl?&cat=security&forum=newbie&id=1065219227 |
| B2层 发表时间: 10/18 12:17 |
 | 回复: studio [studio]  论坛用户 |
登录 |
|
厉害~! 3389你是怎么开的 |
| B3层 发表时间: 10/18 12:37 |
 | 回复: tuzi [tuzi]  版主 |
登录 |
|
既然你是个程序员 就应该知道有些程序运行就是没反应 改了密码 过一会别人就能登陆 那肯定有木马 建议使用最新版的杀毒软件 如果对方也是个高手 他自己写的 哈哈 我也不知道说什么了 |
| B4层 发表时间: 10/18 22:50 |
 | 回复: darkangel [eson]  论坛用户 |
登录 |
|
先做备分,再删掉Atiptaxx.exe 看看有何反应。 也可用陷阱捕捉入侵者。 |
| B5层 发表时间: 10/18 23:12 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 机器天天被别人登陆,怎么办??