某服务器被扫肉鸡的黑客黑了,上去以后发现任务管理器无法使用,taskkill等命令均无法使用。
几个跑1433弱口令的工具跑着。
net user 一下看到有hacker$的帐户。“计算机管理”里“本地用户和组”已经打不开了,组策略编辑器也打不开了。
sethc啥的改了,也留了一堆马。导致服务器远程下慢的不行。
先把恢复这几个的经验讲一下。
1.taskkill以及taskmgr等exe,直接查看权限,发现已经不属于任何用户和组,在安全的高级里,添加一个组,确定后再次打开“属性”->“安全”,添加administrators组。ok了,可以打开了。
2.组策略打开报错:mmc无法创建管理单元。regsvr32 gpedit.dll wsecedit.dll 出现LoadLibrary错误,用以上相同的办法,恢复下如上dll的权限,则ok。
3.计算机管理里没有本地用户和组,打开lusrmgr.msc同样提示:MMC无法创建管理单元,用以上相同的办法,恢复下localsec.dll的权限,则ok。
接下来,装杀软,杀毒;装新版狗,限制访问规则。
感叹下,现在的抓鸡黑客真高明啊,进来后就去除权限,管理员上来都无法下手;现在的抓鸡黑客也真狠,管理员在线也那么嚣张。
本文始发于微信公众号(T00ls):某服务器被黑,“MMC无法创建管理单元”的恢复技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论