問題:
近日我在公司的服務器裡發現了這個用戶帳戶server$,估計的被人當成肉雞了……
這個帳戶不屬於任何組,不屬於GUESTS,也不屬於ADMINISTRATORS,但權限是管理員的權限。
然後我就刪除這個帳戶,可問題是刪不掉(但可以重命名和禁用),提示說“用戶不屬於此組”,CMD下刪除也是同樣的提示。我就試著把Server$添加到其他的組,再打開的“屬性”對話框,單擊切換到“隸屬於”,裡面依然空空的。
心想可能是在注冊表裡改了,可到注冊表裡發現sam下沒有任何鍵值了。
怎麼才能刪掉這個帳戶呀???
答案:
1、運行regedt.exe注冊表編輯器,選擇HKEY_LOCAL_MACHINE→SAM→SAM,點鼠標右鍵,在彈出的菜單上的選擇“權限”,更改Administrators的權限為完全控制。退出注冊表編輯器。
2、再次運行regedit,查看
HKEY_LOCAL_MACHINE→SAM→SAM→Domains→Account→Users→Names,找到Server$的類型值,刪除和它相對應的Domains\Account\Users裡的項和Domains\Account\Users\Names\Server$項本身。退出注冊表編輯器。
3、再次運行regedit,和第1步類似,選擇HKEY_LOCAL_MACHINE→SAM→SAM,點鼠標右鍵,在彈出的菜單上的選擇“權限”,取消Administrators的完全控制權限,改為只有:寫入 DAC 和 讀取控制。退出注冊表編輯器,重啟電腦即可。
服務器被入侵了不想多說了最近事好多。。。
最近,發現一台服務器裡多了幾個用戶帳戶,如server$、admin$等,估計的被人攻擊了,被當成肉雞了……
這幾個帳戶不屬於任何組,不屬於GUEST,也不屬於ADMINISTRATOR,但權限是管理員的權限。當我刪除這些帳戶,就是刪不掉(但可以重命名和禁用),提示說“用戶不屬於此組”,在CMD下用Net user命令刪除,也是同樣的提示。我就試著把Server$添加到其他的組,再打開的“屬性”對話框,單擊切換到“隸屬於”,裡面依然空空的。
怎麼才能刪掉這個帳戶呀???
注意:一定要先把那個對應的那些亂78糟的0000xxx這些找好。記他們不然就要麻煩了。
運行regedt32.exe,找到本地機器上的HKEY_LOCAL_MACHINE表,選中SAM-SAM,右鍵點擊,選擇權限,更改Administrators的權限為完全控制(在“高級”中)。
運行regedit查看SAM裡的Domains\Account\Users\Names\Server$的類型值刪除和它相對應的Domains\Account\Users裡的項和Domains\Account\Users\Names\Server$項本身;
回到regedt32,恢復sam-sam的權限為:寫入DAC 和 讀取控制。
重啟系統搞定。
----------------------------------------------------------------------------------------------------------
如果您是一名網絡管理員,請保持經常檢查服務器帳戶的良好習慣,如果您看到一名陌生的帳戶,而且發現這名帳戶不屬於任何用戶組的時候,那麼恭喜你,你的管理員帳戶可能被克隆了,該用戶很可能擁有服務器的超管權限,因為那是通過克隆你的超管帳號的sam信息建立的帳戶,該用戶不屬於任何用戶組,使用用戶管理器或命令行下刪除該用戶時將提示“用戶不屬於此組”,正確刪除方法如下:
運行注冊表編輯器,依次展開HKEY_LOCAL_MACHINE\SAM\SAM,右鍵點擊,選擇權限,更改Administrators的權限為完全控制.刷新後依次展開該項下的的Domains\Account\Users\Names\ 刪除該子項下的陌生帳號及與之相對應的Domains\Account\Users裡的項;返回,刪除administrator在HKEY_LOCAL_MACHINE\SAM\SAM下的權限。
重啟系統搞定。
補充一下,以便於大家回答,本來是可以在注冊表中,將些賬號刪除
過程我想大家想知道了,我要麼再羅嗦一下,
1.在cmd下進入regedt32下提高sam/sam文件夾的權限(在菜單的“安全”裡),提高到當前用戶完全控制,關掉(要不這麼做regedit中HKEY_local_machine\sam\sam是沒有權限查看的!).
2.進入regedit中HKEY_local_machine\sam\sam\domains\account\users\names\那個黑賬號,刪除它,刪除前先看一下其對應的文件夾,在HKEY_local_machine\sam\sam\domains\account\users下,一起刪除掉。
