来源:IT168.com 作者:小地瓜
黑客入侵服务器是一件很辛苦的事情,短则几十分钟,长则几个月,甚至还有无功而返的时候。所以为了保证入侵后的“胜利果实”,恶意人都会在其计算机里安装后门,以便下次自己能够方便进入。而且他们所选用的后门一般都较为隐蔽,如果不仔细查找很难发现它们的存在,本文以黑客克隆的后门账号为例,教你如何准确的快速查找出此类危险型账号。
要想检查计算机用户账号,大家这里可以打开“控制面板”对话框,然后在依次双击“管理”→“计算机管理”→“本地用户与组”选项,在弹出的“本地用户与组”对话框里,从中检查管理员组里是否存在可疑账号。默认情况下,系统管理组会存有administrator账号,以及Guest来宾账号,所以大家对于这两个账号无需过于担心。如果在没有安装其他服务的情况下,还有其他账号出现,那么就很有可能是黑客入侵后,加载进来的非法账号,我们一定要毫不客气的将其清除掉。
二、检查账号所在的组
每个账号都会有一个身份,而身份则是它所在的组确立的,比如Administrators组,里面就全都是拥有管理员权限的账号。要想查看其组里的账号,只要双击“计算机管理”中的“Administrators”组,就可对其组里的成员进行检查。当然你也可以采用命令的形式进行查询,这里打开“CMD”对话框,在光标闪烁处输入“net user”命令回车,就可查看到当前系统内的所有账号(如图1)。
如果你想当独查看管理员组里的账号,只要输入“net localgroup administrators”命令回车,就可显示该组里所有用户成员。同时也排除你从中发现非法用户,可以在其命令行内,输入net user username(想要删除的账号名) /delete命令,执行后就可将其想要删除的账号,从系统里清除掉。当然入侵者添加账号后面有个“$符”,用户通过输入“net user”命令是无法查看此用户的,所以我们只能通过计算机用户管理的图形界面查看。
三、对克隆账号的检查
以上的检查方法,对于菜鸟所留下的后门账号管用,但是对于黑客老手可就是一道形同虚设的“屏障”。比如他们在系统里建设的克隆账号,我们通过以上常规的net user,以及计算机用户图形管理界面,是无法发现它的存在,必须采用工具进行检查。
以下笔者将使用Mt和本地管理员检查工具,针对常规和非常规的用户进行检查。使用Mt工具的用户,要明白它是一款命令行下的工具,并非是图型化在系统界面里直接运行的,另外它还需要有管理员用户权限的支持,才能在“命令行”对话框内,使用Mt软件并且输入“Mt –chkuser”命令后,界面就会显示出每个账号所对应的值。如果ExpectedSID和CheckedSID两个值不一样,那就说明其账号被克隆了。如果你想非常直观的看到账号情况,可以直接运行“本地管理员检查”工具,此时就会弹出“本地管理员检查”的对话框,其编辑区就会给出账号的相应提示(如图2)。
用户可以根据提示,在命令行下对其被克隆的账号进行删除或者降低其权限。
当前位置:
