2008 这几天被日的有点严重啊 dalao来分析下

莫桑比特 · 发表于 2017-4-26 06:14:33

这么牛逼

ahao358 · 发表于 2017-4-26 06:15:29

lovees 发表于 2017-4-26 09:31

这不是废话吗，冲击波一样的模式，25，80，135,137,139,3389,基本就这几个，直接做个协议，之出不进，什 ...
目前我这客户只保留 web和远程端口一样被日

莫桑比特 · 发表于 2017-4-26 06:25:20

本帖最后由 ahao358 于 2017-4-26 10:17 编辑

我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。
防火墙里开了ICMP所有，怀疑是通过这，印象中没开防火墙，黑人好象帮我开了。
其他的目前还看不出来，水平有限。

补充：
windows目录下有un.exe csrss.exe winsxslog.rar等几个可疑文件。

tiane12 · 发表于 2017-4-26 07:10:57

ahao358 发表于 2017-4-26 09:55

我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。
2008 64感觉跟出了0day一样

ahao358 · 发表于 2017-4-26 07:41:42

我的腾讯云也被黑了。3389端口默认。

ahao358 · 发表于 2017-4-26 07:51:00

莫桑比特发表于 2017-4-26 10:31

2008 64感觉跟出了0day一样
感觉是有0DAY了，那机器就用来挂机，远程桌面没开，防火墙也没开，但还是被日了。
现在删除那可疑服务和相关文件，取消远程桌面，删除那防火墙ICMP全开规则，目前还没发现其他情况，现在在更新，不知道黑人还有没有开放其他。现在更新没动静，等了好久，只能继续观察了

loony · 发表于 2017-4-26 08:56:27

鼎峰网络包子发表于 2017-4-25 18:57

那是微软系统跟新问题
不一定，原来设置是密码永不过期，被黑后发现异常时是出现这，机器还不定时重启，后来发现如我上面回复说的情况了。

robit莫桑比特 · 发表于 2017-4-26 07:51:00

详情请搜索：Windows系统 SMB/RDP远程命令执行漏洞

robit · 发表于 2017-4-26 09:00:33

2008还是2008R2?
robit 发表于 2017-4-26 12:23

2008还是2008R2?
都有

鼎峰网络包子 · 发表于 2017-4-26 07:51:00

莫桑比特发表于 2017-4-26 15:49

都有
这么悲剧...我的打了补丁后貌似没事了我的R2...

		自动登录	找回密码
密码			立即注册

2008 这几天被日的有点严重啊 dalao来分析下

浏览过的版块