SERVER2008被自動還原? 已安裝程式都被移除

windows server esxi 系統還原中毒駭客

johnsky007 2019-01-02 13:40:05 ‧ 1936 瀏覽

分享至

SERVER是裝在ESXI上的
今天早上遇到登入SERVER2008時發現一直提示密碼錯誤
但這密碼使用了好幾年不太可能出錯試了幾次後決定用安裝光碟進去修改放大鏡使用CMD命令
成功修改密碼登入後發現疑是系統被還原已安裝的程式被解除安裝難怪admin的密碼也進不去

目前發現的有
所有安裝的程式都被移除
桌面除了資料夾和EXE檔都被清空
之前在task scheduler的排程還在
administrator的密碼被修改

想問這種情形有邦友有遇過嗎?或是這有可能是中毒?

純真的人 iT邦大師 1 級 ‧ 2019-01-02 14:04:42 檢舉

你確定電腦同一台嗎...

johnsky007 iT邦新手 5 級 ‧ 2019-01-02 14:10:17 檢舉

當然...VM只裝了兩台虛擬機
一台AD用一台MAIL SERVER使用
現在MAIL那台出現這種情況
所以還滿疑惑的...

hsiang11 iT邦好手 1 級 ‧ 2019-01-02 14:34:21 檢舉

先查查server2008的系統LOG紀錄是從何時開始斷的，才能判斷是不是被還原
而不是用猜的
最好也查ESXI的登入紀錄，是不是有內鬼登入還原快照

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

Ray

iT邦大神 1 級 ‧ 2019-01-02 14:17:10

檢查你的 Event log, 核對時間軸, 看有甚麼蛛絲馬跡?

回應 2
分享
檢舉

johnsky007 iT邦新手 5 級 ‧ 2019-01-02 14:24:53 檢舉

剛剛吃飯完後進去SERVER發現被登出密碼重新被修改了無法登入..
這到底是...
等下我進去後先看是否能夠查看EVENT LOG

ks1217 iT邦研究生 1 級 ‧ 2019-01-02 17:40:19 檢舉

你該不會改回常用的密碼吧? 應該是被猜到帳號密碼了,
或是有另一個同樣高權限的帳號被駭, 改完密碼後趕快清除一下不必要的帳號吧, 或把權限降低.

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2019-01-02 21:19:10

查看esxi系統，是否有該win2008 最近的快照？

回應
分享
檢舉

登入發表回應

hpchiu

iT邦新手 5 級 ‧ 2019-01-03 10:37:04

sysmon 是你的好朋友 ~
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

回應
分享
檢舉

登入發表回應

灰灰

iT邦新手 1 級 ‧ 2019-01-04 12:03:09

都沒備份機制嗎?
如果沒有建議經過這次事件後跟老闆提一下或是自己規劃一下!

避免意外發生!!

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23097 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙