家里实验的 win svr 被黑了,谁给分析下怎么被黑的

2019-05-21 10:24:08 +08:00
 playnoa

最近在家里做 hyper-v 的实验,这台机器安装了 SQL2012 和 SCVMM2012,SQL2012 是 msdn 下载的,SCVMM2012 是百度云搜索共享下载的,没装过任何其他软件;

昨晚上关机的时候点击了脱离域,然后开始更新一百多个补丁,没管它;

早上 ping 了一下,发现可以 ping 通,应该是补丁装完了,RDP 的时候发现密码不对!!!我自己没改过密码!

插上显示器用键盘输入密码还是不对,然后就用那招替换 utilman.exe 修改了密码,到桌面就发现了桌面这个文件夹,里面的 config.json 有个 URL,进去看看,好像是个挖矿的网站;

1.没用这台电脑打开过任何网页,因为一直都是内网实验

2.没用安装过任何第三方软件,都是微软的套件

3.前几天安装系统的时候,两块 SSD 都格式化过

4.机器可以连外网,因为连接的是家里的 24 口交换机,但是没有用过联网的操作

怎么做到的?难道 SCVMM 不干净?

链接: https://pan.baidu.com/s/1bjLRkE1M3sIAT7506-Wg3A

提取码:55l3

有懂行的给看看,看看是哪里操作不当,另外系统我给 ghost 保存了

3651 次点击
所在节点    操作系统
3 条回复
yzkcy
2019-05-21 10:55:05 +08:00
CVE-2019-0708,自查下是否存在这个漏洞。
bobylive
2019-05-21 10:58:53 +08:00
最大可能性,機器公網暴露了,SA 弱口令或者 MS17-010,用日誌排查吧,先看看是怎麼上來的
zhhww57
2019-11-21 14:34:37 +08:00
我之前也被搞过,我那边是门罗币挖矿 233

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/566100

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX