查看: 2890|回复: 7
收起左侧

[网络] 火绒运行期间服务器被入侵后火绒被卸载

[复制链接]
Spartan-117
发表于 2018-9-14 20:58:03 | 显示全部楼层 |阅读模式
单位的一台内网IIS服务器,因为我本机火绒提示受到来自于服务器的攻击,所以我在昨晚将服务器连接了外网并安装了火绒。

记录名:Exploit/EternalBlue
关联进程:System
远程地址:10.10.10.15:64140(这是服务器IP)
防御结果:已【阻止】



之后火绒杀毒杀出一大堆毒,杀毒结束正常重启后未在报毒。
今晚在尝试登录服务器远程桌面时,发现administrator用户无权限登录,后物理接触服务器发现火绒已被卸载。
且在事件日志中发现admin与guest账户被设置为SeDenyRemoteInteractiveLogonRight。
重新安装火绒后扫描未发现异常。
现在我纳闷的问题是,所有账户都被设置为无法通过远程桌面登录,且无远程控制软件,就算有人入侵,之后又想何如利用?



Ps:该服务器存在于一个路由器下,且未设置外网端口映射与DMZ。不应该是弱密码爆破远程桌面。
只是想咨询下各位有没有兴趣了解一下这个问题。
mifanu
发表于 2018-9-14 22:44:03 | 显示全部楼层
既然之前就存在病毒,有可能之前也存在木马,至于没有被火绒查杀,这个几率比较小。
我们勉强认为,该木马存活了下来,那么牧马人就是一直都能自由登陆,之后就顺手卸载了你的火绒?
木马就是通过网站或病毒等方式传播,其远控文件都很简单隐蔽,没有安装痕迹。
一般就是用来挖矿。
独自丶飘零
发表于 2018-9-15 18:19:34 | 显示全部楼层
是不是火绒认为远程登陆不安全 给关了
Kukon
发表于 2018-9-17 11:23:31 | 显示全部楼层
不懂,帮你 @火绒工程师
Kukon
发表于 2018-9-17 11:23:48 | 显示全部楼层
本帖最后由 天岛男孩 于 2018-9-17 19:25 编辑

是 bug 吗? 我明明是编辑内容,怎么出现两次回复。。。。
火绒工程师
发表于 2018-9-17 11:33:42 | 显示全部楼层
您好,很抱歉这么晚才收到您的反馈,麻烦您加QQ:2087707659,我们详细了解一下帮您看看吧~
火绒工程师
发表于 2018-9-17 11:34:03 | 显示全部楼层
天岛男孩 发表于 2018-9-17 11:23
不懂,帮你 @火绒工程师

感谢感谢~
Spartan-117
 楼主| 发表于 2018-9-28 13:18:59 | 显示全部楼层
火绒工程师 发表于 2018-9-17 11:33
您好,很抱歉这么晚才收到您的反馈,麻烦您加QQ:2087707659,我们详细了解一下帮您看看吧~

那个,火绒论坛上已经有工程师帮忙解决了。非常抱歉,不过谢谢。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 13:46 , Processed in 0.121785 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表