iT邦幫忙

0

SERVER2008被自動還原? 已安裝程式都被移除

SERVER是裝在ESXI上的
今天早上遇到 登入SERVER2008時 發現一直提示密碼錯誤
但這密碼使用了好幾年 不太可能出錯 試了幾次後 決定用安裝光碟進去修改放大鏡使用CMD命令
成功修改密碼登入後 發現疑是系統被還原 已安裝的程式被解除安裝 難怪admin的密碼也進不去

目前發現的有
所有安裝的程式都被移除
桌面除了資料夾和EXE檔都被清空
之前在task scheduler的排程還在
administrator的密碼被修改

想問這種情形有邦友有遇過嗎?或是這有可能是中毒?

你確定電腦同一台嗎...
當然...VM只裝了兩台虛擬機
一台AD用 一台MAIL SERVER使用
現在MAIL那台出現這種情況
所以還滿疑惑的...
hsiang11 iT邦研究生 4 級 ‧ 2019-01-02 14:34:21 檢舉
先查查server2008的系統LOG紀錄是從何時開始斷的,才能判斷是不是被還原
而不是用猜的
最好也查ESXI的登入紀錄,是不是有內鬼登入還原快照
0
raytracy
iT邦大神 1 級 ‧ 2019-01-02 14:17:10

檢查你的 Event log, 核對時間軸, 看有甚麼蛛絲馬跡?

剛剛吃飯完後 進去SERVER發現被登出 密碼重新被修改了 無法登入..
這到底是...
等下我進去後先看是否能夠查看EVENT LOG

ks1217 iT邦研究生 5 級 ‧ 2019-01-02 17:40:19 檢舉

你該不會改回常用的密碼吧? 應該是被猜到帳號密碼了,
或是有另一個同樣高權限的帳號被駭, 改完密碼後趕快清除一下不必要的帳號吧, 或把權限降低.

0
yesongow
iT邦大師 1 級 ‧ 2019-01-02 21:19:10

查看esxi系統,是否有該win2008 最近的快照?

0
灰灰
iT邦新手 3 級 ‧ 2019-01-04 12:03:09

都沒備份機制嗎?
如果沒有建議經過這次事件後跟老闆提一下或是自己規劃一下!

避免意外發生!!

我要發表回答

立即登入回答