用户的话,也是开管理,和建立一样的,删除就是,建议先禁用,等没人说有错再删不迟。这个玩意还真不好描述,看见了就自然知道……
亲手建立影子账户第一步:以管理员账户登录系统,打开“注册表编辑器”,选中[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator]项并右击,选择“导出”,保存为ad.reg。
第二步:用“记事本”打开ad.reg,将其中“[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator]”修改为“[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cfan]”,保存后双击导入注册表。
第三步:注销当前登录用户,以“cfan”为用户名,密码则使用Administrator的密码,登录系统。
如果你是黑客,那么现在不管对方将用户名“Administrator”改为“user123”还是“user321”,你都能用“cfan”作为用户名进行登录。更为可怕的是,通过上文中介绍的6种常规账户检测方法均无法找出这个影子账户!但庆幸的是,还是有办法找出这个“隐形杀手”的。用影子账户登录后所进行的用户设置及修改,相当于原账户所进行的修改(比如用影子账户修改了登录密码,则用原账户登录时也需使用新密码),反之亦然。
以彼之道还施彼身乃是上策,既然黑客能利用注册表建立影子账户,那么通过注册表我也能找出影子账户。第一步:打开“注册表编辑器”,然后点击左侧分支找到[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator],查看并记录下该项的默认值。第二步:依次检查[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]下的所有子项,如果某个子项的默认值与刚才记录下的Administrator的默认值相同,那么这个就是影子账户了,当然不能给黑客留一把后门“钥匙”,毫不犹豫地删除之。第三步:除Administrator外,黑客还可能复制出其他账户的用户数据“保管箱”的“钥匙”,所以保险起见还需检查[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names]下所有子项的默认值是否有相同的,如果有,那么就该小心了。
1、换高防IP或切换或者高防服务器,流量攻击进入高防ip将异常流量清洗后,保留正常流量转到我们正常服务器ip。2、网站业务添加cdn,预算充足的情况下可以考虑添加cdn,但是大流量的攻击可能产生高额cdn费用,需要酌情考虑。
3、定期排查服务器安全漏洞,及时修补服务器漏洞,防止被黑客利用漏洞进行服务器攻击。
4、设置防火墙
防火墙是可以在部分攻击上打到抵御的效果的,禁用一些不用的端口防止非法分子利用其端口进行攻击。同时可以通过防火墙设置把攻击重定向。
5、提升服务器配置
一般的攻击如果不是非常猛烈,可以适当提升服务器带宽,cpu和内存,保证资源不被攻击消耗殆尽。
6、通过反向路由进行ip真实性检测,禁用非真实ip也可以防御攻击。
7、限制SYN/ICMP流量
在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能占有的最高频宽,大量的异常流量那基本上就是攻击了。
8、过滤所有RFC1918
IP地址RFC1918 IP地址是内部网的IP地址,过滤攻击时伪造的大量虚假内部IP,也是能减轻攻击DDOS攻击。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)