windows2003被人入侵，日志被清除

shmily1819

我windows2003被人入侵，用antivir服務器版能掃除病毒，可第二天又發現有帳號建立，有時候日志也被毀掉，很多服務被停。各位gg有什么好的對策嗎？跪求9 @^+ a$ a- g1 p% x$ O

好像有個壓縮包老是解壓，可我又找不到那個壓縮包在哪里？

; e% }/ M\' |3 w6 _4 s2 e, To各位gg有什么好的對策嗎？跪求

xifenfei521

面对入侵后被植入木马或者病毒,最有效的不是用防毒软件进行清除,而是需要先想办法使得破坏分子无法连接你的服务器\"3 M. K: y: ]& AF

+ F3 Y% X7 T- @4 E1 W2 F

建议用防火墙或者ACL来严格控制你的机器上的开放端口,高危端口一律封闭掉先.! k\" `; K: C5 b\' S

只开放必要的几个端口.5 U0 o& u; L3 \\* U) y2 L



t\' J% q8 W$ P; ?% F* v( \"8 o此外,账号的安全性也要考虑,破坏者有权限建立账号说明已经取得了管理员权限,你需要彻查一遍,该改密码的改密码,该停用的停用.

: ?; n2 Q2 S. E0 n特别要注意的是看看有没有影子账户或者隐藏账户

chenxian123

影子账户或者隐藏账户怎么刪除

6 |9 s; x\' r) W$ N6 p, ^我每次刪除后，它又自動生成了

fhlxniat

LOCAL MACHING\\\\SOFTWARE\\\\MICROSOFT\\\\WINDOWS NT\\\\CURRENT VERSION\\\\WINLOGON\\\\SPECIALACCOUNTS\\\\userlist 里面应该能看到所有用户的Z( J2 f2 T# U# T1 \\\' g! n

. u& T% T/ R9 N! J/ g2 o

我认为你应该先关闭远程桌面、Telnet、远程注册表、IPC共享

) e& P$ K9 f6 Y1 }1 j2 B3 Z4 C/ _& Y: X$ Y

检查开放的端口、进程、启动项防止有木马插入如果有陌生端口或者进程最好Google一下

njnu001

肯定留了后门 自己仔细查下 不行先断了 外网的连接

LZ789877

感觉这位仁兄的意见不错

xingyunts

找个服务器装个类似gfi eventlog的软件，把那台服务器的日志收集到别处。然后看看入侵你服务器的人什么时候登陆的，IP多少。

xllsky

- t. Y7 z, b. @! `4 K. O8 a

4 e2 i- m8 G4 m1 e! \"

即使看到基本上也意义不大,现在的入侵者都是找几层跳板或者网吧里搞事的,所以你得到IP知道哪个省份意义都不大.并且如果公司损失不大的话报警也不是很有效果.- f2 {* I4 V9 O0 a1 @

+ D9 ?& P- N# W9 e5 B

还是照上面几位的观点彻查后门吧,呵呵

大呀

我這邊用的是硬體防火墻，我只開了郵件和上網的端口，今天看系統更慘，兩臺服務器的ad復寫沖突，而且新電腦加不了域了* ]+ V) X& r/ j: z* e$ q

Active Directory 在套用複寫的變更到下列物件時，發生寫入衝突。 2 C1 E: w3 `/ d

寫入衝突可能是因為對相同物件的同時變更，或是對其他物件其擁有參照這個物件的屬性的同時變更所造成。這通常發生在當物件代表包含許多成員的大群體，且樹系的功能等級設定為 Windows 2000 時。這個衝突會觸發其他的更新嘗試。如果系統顯得很慢，可能是因為正在複寫這些變更。

licong721119

應用程式特定 權限設定無法將含有 CLSID

4 y0 @% r1 d1 K9 o5 u, b& |{9DA0E106-86CE-11D1-8699-00C04FB98036}

0 ^\" d# }/ |4 N+ B3 x 的 COM 伺服器應用程式的 本機 啟動 權限授予使用者 NT AUTHORITY\\SYSTEM SID (S-1-5-18)。您可以使用元件服務系統管理工具修改安全設定權限。

* M! m) b. g0 @- m5 a7 z5 _) C/ W

2 }% `) @\" v: q0 i. L+ L/ F

安全性系統偵測出伺服器 LDAP/***** 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。) K2 Q1 c4 a9 [\' F9 g. `3 Q8 O\' {) J

(0xc000005e)\"。6 l6 O: P+ E5 \\( o\" o

安全性系統偵測出伺服器 LDAP/Localhost 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。7 y8 Y0 I\" d8 F3 A) p) r0 G

(0xc000005e)\"。\' G/ B) m4 b# w$ ?+ Q/ s$ ^$ E

安全性系統偵測出伺服器 ldap/****** 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。

F) H& s$ K@8 C (0xc000005e)\"。

- A6 Y& w% h, t! z安全性系統偵測出伺服器 ldap/127.0.0.1 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。

& k; a3 |- [. s: x6 T. X (0xc000005e)\"。/ w( K/ i3 c6 X6 c& v. z: i) d+ l

安全性系統偵測出伺服器 ldap/******.*******.com 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。3 w2 ]$ D/ ^\" Z\" U; K. J

(0xc000005e)\"。