win7遭入侵，出现异常用户

LemonIT

今天电脑一直在用，突然觉得很慢，内存占用也很高，就重启了下电脑。。结果在登录时吓了我一跳，本来只有一个用户的登录界面居然多出两个异常用户，一个名字叫King$，一个叫hua。进入系统后赶紧删除了这两个用户，看来是被入侵了，我没装别的防火墙软件，就装了个微软自己的MSE。确实有点郁闷啊！

刚才搜索了一下今天修改过的文件，发现了来访者留下的痕迹。。在system32下面留下了xuege.txt，里面这样写道”在雪歌的双手之下,1433一切都是浮云“。。这下我想起来了，之前在测试程序时，我把SQL Server用的1433端口开放了。看来入侵者是通过用这个端口进来的，希望各位以后注意一下。。

再补充一下：
刚才又检查了一下system32目录，发现几个今天创建的可疑文件，搜索了一下，有如下内容：
”经过几天测试，确定是SQL Server服务器出问题了，在家里面是拨号上网的，只要SQL Server服务器打开，ftp.exe就会自动下载木马，但最新的瑞星杀毒软件会杀掉C:\WINDOWS\system32\Kinds目录下的木马，关掉SQL Server就没事了。
但在公司用无线网卡上网，打开SQL Server服务器就没问题，看来和上网方式也有关。“

真是晕掉了，今天早上就是看了坛子里一篇关于是否用无线还是有线上网的帖子后才改用有线上的，之前都是用的无线。我说怎么以前都没事，今天突然被入侵了。

[ Edited by  LemonIT on 2010-11-23 23:59 ]

tinerli

...汗~~~明显当肉鸡了...

Nicky

有这样入侵的???

hanyuyuhan

你很菜，用的D版WIN7，肯定的，WIN7是很难被突破的，特别用的是普通账户登录

winner2050

我就开着windows 防火墙就够用了。

GOTGXXE

装的哪个D版版本的win7

iaunglee

net user sb /add

秋水霸刀

自己发现了，还很菜？

有些人明显被入侵了，还不自知，那菜刀什么程度啊？

LemonIT

以前从远景上下的en_windows_7_ultimate_x86_dvd_X15-65921.iso。打过sp1。

顶级工头

被人修改过的吧。。建议楼主改用原版吧

rockyyeah

建议楼主改用正版吧。

ersatzbell

还是用MSDN版的吧，补丁都打上，上网习惯好点，基本没什么风险的

LemonIT

这个都用1年多了，一直都好好的，也没出过什么问题呀。就今天晚饭时的事，我吃完晚饭看了会电视过来时就发现有点慢，重启就发现这个问题。。各位都用的什么版本啊？

hanyuyuhan

那就是菜瓜了，哈哈

牛氓阿斯顿

cmd-net user查看当前用户

zh1

局域网？

LemonIT

不是。就在家里。直接拔号上的。网络类型选择的公共网络。

zh1

加一个防火墙吧，comodo不错

fanzhensheng

是中病毒了吧？

nabc

这黑客 技术也差点吧。

LemonIT

刚才在googel里搜索了一下

eiicne

这么高级呀，我不知道有没有被人抓个鸡过，好怕怕！

huangon

还是装OEM版放心，因此恢复盘虽然麻烦，但用着放心。

fabian

看完楼主写的 我赶紧也看看我自己的
我也是只用了一个MSE 再就是系统自带的防火墙

googshop

学习一下。。。

chinahusky

发现了就斩了他  还雪歌 还浮云呢 他扫个1433都好意思留文

6700

QUOTE:

Posted by LemonIT on 2010-11-23 22:46
以前从远景上下的en_windows_7_ultimate_x86_dvd_X15-65921.iso。打过sp1。

sp1? sp1现在是RC版 明年才有正式版

话说 这明显是你sql的漏洞造成的 跟w7有啥关系……

LemonIT

是sp1 beta。问题应该在1433端口上。

Bestir

防外部直接上路由猫弄个NAT，防内部上网老实点就行了。
裸奔多年，只开windows自带防火墙，从未中招。

comeas

自打7出来，就没有过这个。