好学IT学院:IT信息技术分享交流平台
标签:安全  来源:互联网  作者:佚名  发布时间:2009-02-20  ★★★加入收藏〗〖手机版
摘要:昨天发现公司外网服务器又被人侵入了,种了几个黑客软件。只要是用户通过3389端口从远程桌面登录系统,账号密码就会被记录下来。干掉这些个黑客软件和木马病毒后,用诺顿扫描,发现还有一个CryptWan.dll病毒,在system32目录下。…

昨天发现公司外网服务器又被人侵入了,种了几个黑客软件。只要是用户通过3389端口从远程桌面登录系统,账号密码就会被记录下来。干掉这些个黑客软件和木马病毒后,用诺顿扫描,发现还有一个CryptWan.dll病毒,在system32目录下。

直接杀也没杀掉,因为正在被使用,也无法直接删除。用360卫士看了一下当前的进程,发现是winlogon进程在使用,看来是启动的时候装载的。直接跑到注册表中,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 下面一看,果然在这里面有,直接删掉,并重起系统。系统起来后,跑到system32目录下,直接删除,呵呵,搞定。

同时还发现该注册表键值下面还有几个可疑的dll项,google了一下,发现果然是木马,干掉。最后提高了系统的安全级别,提高了防火墙的级别。世界清静了,哈。

查一下发现CryptWan.dll这个可疑度最好,有80%,进注册表也查到了,而且其他服务器则没有这项。没得说了,注册表删除。另外直接删除不了这个文件,只好把这CryptWan.dll的所有权限都去掉,让它不能执行。然后服务器重新启动后,再也没有发现有发动arp攻击了。