作者 主題: [轉貼]請速檢查 Windows NT/2000/XP(含Server) 是否遭到埋植後門  (閱讀 6277 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8832
    • 檢視個人資料
    • http://www.24online.cjb.net
轉貼來自於狼主網路實驗室http://netlab.kh.edu.tw/index.htm之文章, 其原始連結如下:
    http://netlab.kh.edu.tw/document/電腦安全/XP(含Server)%20是否遭到埋植後門.htm[/list]

    內容:

    請速檢查 Windows NT/2000/XP(含Server) 是否遭到埋植後門


    近期中心發現幾個連線單位內之 Window NT/2000/XP 遭到埋植後門,
    被當成 FTP 的轉運中心,
    因此, 請各單位儘速清查單位內之 Windows NT/2000/XP (尤其是24小時運作機器)
    是否遭到埋植後門, 並儘速清除及回報!

    檢查方式:
    1.請確定該機器上沒有安裝或執行servU的FTP程式, 若有的話, 請先停止!
    2.開啟「工作管理員」, 並檢查「處理程序」列表中, 是否有ServU或Srvany在執行, 若有則表示遭埋後門!
    3.開啟「開始」-->「設定」-->「控制台」-->「系統管理工具」-->「服務」, 檢查是否有「Intel(R) NMS」或「Intel(R) NIC Management Service」,若有, 則表示真的己遭埋植後門, 並做成服務在執行了!
    以上檢查結果若己遭埋入後門, 則請儘速清除該後門!

    清除後門的方式:
    1.開啟「開始」-->「設定」-->「控制台」-->「系統管理工具」-->「服務」, 停止Intel(R) NMS」或「Intel(R) NIC Management Service」服務, 並將該服務改成「手動」啟動
    2.後門程式放置的目錄為: c:\\WINNT\\system32\\os2
    3.請先檢查 c:\\WINNT\\system32\\os2\\dll\\ServUDaemon.ini 這個檔案的內容, 找尋「HomeDir=」參數, 以便確定ftp的資料目錄
    4.清除或搬移 ftp 資料:
    ftp的資料目錄, 通常均安裝在「檔案總管」無法流覽或開啟的目錄內, 請開dos視窗, 以下command的方式進入該目錄, 以便進一步確認被放置多少檔案及作搬移或刪除之動作
    5.清除或搬移 ServU 程式目錄, 請 c:\\WINNT\\system32\\os2 整個目錄全部移除掉或搬到其他硬碟上!
    6.開啟「開始」-->「執行」-->輸入「regedit」, 以便開啟「登錄編輯程式」
    7.在「登錄編輯程式」中, 按下「編輯」-->「尋找」, 尋找的內容為Intel(R) NMS及Intel(R) NIC, 找到之後, 將該底層的目錄刪除, 若遇到無法刪除的狀況, 則不予理會, 繼續往下尋找, 直到搜尋結束為止!
    8.將機器重新開機, 並運作上方的檢查方式, 查看後門程式是否仍在運作!
    哈克不愛的多合一輸入平台----->新香草口味
    過去的時間不斷流逝,抹去的眼淚已成追憶;
    乾枯的雙手無力阻止,再會了我遠去的曾經。

    duncanlo

    • SA 苦力組
    • 俺是博士!
    • *****
    • 文章數: 7312
      • 檢視個人資料
    今天上班才發現我公司的PC有病毒程式,
    原來是MIS直接把前人用過的PC,
    軟體移除後直接給我用...
    幸好大部份的檔案都被防毒軟體找到,
    不過,
    找個時間還是重灌好了....

    KevinLing

    • 活潑的大學生
    • ***
    • 文章數: 292
      • 檢視個人資料
    嗯? duncanlo 不是做 MIS 的嗎?

    duncanlo

    • SA 苦力組
    • 俺是博士!
    • *****
    • 文章數: 7312
      • 檢視個人資料
    引述: "KevinLing"
    嗯? duncanlo 不是做 MIS 的嗎?


    那是前前公司...