V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
playnoa
V2EX  ›  操作系统

家里实验的 win svr 被黑了,谁给分析下怎么被黑的

  •  
  •   playnoa · 2019-05-21 10:24:08 +08:00 · 3433 次点击
    这是一个创建于 1773 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在家里做 hyper-v 的实验,这台机器安装了 SQL2012 和 SCVMM2012,SQL2012 是 msdn 下载的,SCVMM2012 是百度云搜索共享下载的,没装过任何其他软件;

    昨晚上关机的时候点击了脱离域,然后开始更新一百多个补丁,没管它;

    早上 ping 了一下,发现可以 ping 通,应该是补丁装完了,RDP 的时候发现密码不对!!!我自己没改过密码!

    插上显示器用键盘输入密码还是不对,然后就用那招替换 utilman.exe 修改了密码,到桌面就发现了桌面这个文件夹,里面的 config.json 有个 URL,进去看看,好像是个挖矿的网站;

    1.没用这台电脑打开过任何网页,因为一直都是内网实验

    2.没用安装过任何第三方软件,都是微软的套件

    3.前几天安装系统的时候,两块 SSD 都格式化过

    4.机器可以连外网,因为连接的是家里的 24 口交换机,但是没有用过联网的操作

    怎么做到的?难道 SCVMM 不干净?

    链接: https://pan.baidu.com/s/1bjLRkE1M3sIAT7506-Wg3A

    提取码:55l3

    有懂行的给看看,看看是哪里操作不当,另外系统我给 ghost 保存了

    3 条回复    2019-11-21 14:34:37 +08:00
    yzkcy
        1
    yzkcy  
       2019-05-21 10:55:05 +08:00
    CVE-2019-0708,自查下是否存在这个漏洞。
    bobylive
        2
    bobylive  
       2019-05-21 10:58:53 +08:00 via iPhone
    最大可能性,機器公網暴露了,SA 弱口令或者 MS17-010,用日誌排查吧,先看看是怎麼上來的
    zhhww57
        3
    zhhww57  
       2019-11-21 14:34:37 +08:00
    我之前也被搞过,我那边是门罗币挖矿 233
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1430 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:48 · PVG 07:48 · LAX 16:48 · JFK 19:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.