高手来帮我看看(主机被黑）急~~~！！！

Kirst · 发表于 2003-11-7 16:55:31

粗略的Google了一下，可能是2K的系统文件
denverfly看一下是不是文件的生成日期，跟你系统的安装日期一致

denverfly · 发表于 2003-11-7 23:01:04

不一样的，没办法，我把机子重做了，不过原先的东西我备份了一一个下来

Kirst · 发表于 2003-11-7 23:08:05

CCF上的朋友说这些nls文件是codepage

ztm2000 · 发表于 2003-11-9 14:27:20

看了一下你的附件，看来是被人拿来当肉鸡了，入侵后居然还帮你做了安全加固，以防止被其他人黑。
既然你已经重做了系统，详细的检查就不谈了，不过要提醒的是WIN2K并不是简单的打好补丁及加一个防火墙就能保证安全的，很多入侵是基于系统本身的合法服务来进行的，此时防火墙并不会检查出是一种入侵行为，因此很多地方是需要手动进行安全的设置的。提几个安全方面较简单的建议，如果想要深入学习，可以找一本微软出的《Microsoft Windows 2000 Security Technical Reference》，这是由著名的安全公司ISS撰写的，堪称WIN2K的安全经典。
1、ZoneAlarm并不适合在安全服务器的环境下使用，强烈建议使用ISS的“BlackICE Server Protection ”防火墙软件，其带有的IDS功能足以应付很多常规的入侵行为，
下载地址
2、停止不必要的服务，提供的服务越多，其安全方面的隐患越多，象很多服务：snmp、message、DHCP Client、DNS Client、Alerter等，将他们改为手动方式，不随系统启动。
3、考虑网络中是否提供文件打印等共享的需求，通常作为服务器来说是不需要这些功能的，同时作为WEB等服务的话，也不要采用域的方式来安装，作为独立的服务器来安装其安全性要好得多，如果要禁用网络共享建议采用如下步骤：
3.1、停止Server、Remote Procedure Call (RPC)服务，将其禁用
3.2、在网卡的“高级TCP/IP设置”（在设置IP地址处选“高级”即可看到）的WINS处选择“禁用TCP/IP上的NETBIOS”
3.3、在运行处输入“Dcomcnfg.exe”，在弹出的对话框中的“默认属性”中取消“在这台计算机上启用分布式COM”
3.4、运行注册表编辑器，将主键“System\CurrentControlSet\Control\LSA\RestrictAnonymous”改为2
3.5、你的提供的附件压缩包中有一个批处理文件“secure.bat”，这是停止不必要服务及共享的，将它放到WIN2K的启动组中去，以便启动时就自动禁用这些东西
4、在运行中输入“gpedit.msc”，进行组策略编辑，其中应配置帐户策略如下图，以防止帐户被非法破解。

ztm2000 · 发表于 2003-11-9 14:31:58

继续

ztm2000 · 发表于 2003-11-9 14:38:26

5、同样需要在“组策略”中设置，对用户的使用行为进行广泛的的安全审计，以便查找出攻击的行为并及时处理，作为管理者应经常用“事件查看器”对其进行审核了解。

ztm2000 · 发表于 2003-11-9 15:01:40

6、如果可能禁用GUEST帐户或将其改名，以使入侵者无法使用GUEST来登入服务器，同时因Administrator帐号无法停用，这给暴力破解者提供了机会，解决方法是将该帐户改名，使用入侵者无法猜测的用户名。这些都可以在组策略中设置，其中需注意的地方给出了标志。

ztm2000 · 发表于 2003-11-9 15:34:23

6、在组策略中的“IP安全策略”中启用IPsec策略，将其配置为“安全服务器”，仅对提供服务的端口及IP 地址开放，其它的都设置为禁止通行，因需求各不相同，就不附图了，具体设置方法可参看HELP。
7、经过上面的一些设置，安全性应该有了一定的保障，剩下一些安全问题要涉及一些注册表操作：
7.1、防止guest组的用户访问AppLog、SecLog、SysLog，改动注册表的以下位置：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Application\RestrictGuestAccess 改主键为1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Security\RestrictGuestAccess 改主键为1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\System\RestrictGuestAccess 改主键为1
7.2、系统默认的NTLM是采用版本1，其安全性很差，应强制系统使用NTLMv2版本 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel 改主键为2
8、到此，安全设置基本结束，虽然可能还会有一些遗漏，服务器的风险已经大大降低，最后最好找一些安全扫描软件在网络中对本服务器进行一次安全扫描，看看还有无安全隐患，建议使用shadow security scanner，其功能强大且可以免费试用14天。

denverfly · 发表于 2003-11-10 00:41:55

很感谢ztm2000，其实喜欢网络后，很想当个黑客，结果是黑客没当成，自己的主机先被黑了。在原先的2000系统里，我发现有很多类似的脚本文件，我全给打包放起来了，日后好好的研究研究，有兴趣的朋友我可以放上来供大家看看，我是第一次遇到此类的事件。

谢谢大家~！

Kirst · 发表于 2003-11-11 15:11:07

nls文件是系统的内码转换文件，不是病毒脚本

		自动登录	找回密码
密码			立即注册

高手来帮我看看(主机被黑）急~~~！！！

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源