这是一个创建于 2009 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在家里做 hyper-v 的实验,这台机器安装了 SQL2012 和 SCVMM2012,SQL2012 是 msdn 下载的,SCVMM2012 是百度云搜索共享下载的,没装过任何其他软件;
昨晚上关机的时候点击了脱离域,然后开始更新一百多个补丁,没管它;
早上 ping 了一下,发现可以 ping 通,应该是补丁装完了,RDP 的时候发现密码不对!!!我自己没改过密码!
插上显示器用键盘输入密码还是不对,然后就用那招替换 utilman.exe 修改了密码,到桌面就发现了桌面这个文件夹,里面的 config.json 有个 URL,进去看看,好像是个挖矿的网站;
1.没用这台电脑打开过任何网页,因为一直都是内网实验
2.没用安装过任何第三方软件,都是微软的套件
3.前几天安装系统的时候,两块 SSD 都格式化过
4.机器可以连外网,因为连接的是家里的 24 口交换机,但是没有用过联网的操作
怎么做到的?难道 SCVMM 不干净?
链接: https://pan.baidu.com/s/1bjLRkE1M3sIAT7506-Wg3A
提取码:55l3
有懂行的给看看,看看是哪里操作不当,另外系统我给 ghost 保存了
 |
1
yzkcy 2019-05-21 10:55:05 +08:00
CVE-2019-0708,自查下是否存在这个漏洞。
|
 |
2
bobylive 2019-05-21 10:58:53 +08:00 via iPhone
最大可能性,機器公網暴露了,SA 弱口令或者 MS17-010,用日誌排查吧,先看看是怎麼上來的
|
 |
3
zhhww57 2019-11-21 14:34:37 +08:00
我之前也被搞过,我那边是门罗币挖矿 233
|
Select Language