周一早上接到客户电话:全公司断网,电脑能获取到IP地址。初步怀疑是路由器故障,或者运营商线路故障。指导客户把笔记本电脑接入电信光猫,直接配置成电信给的固定IP,上网正常;
先解客户燃眉之急,直接远程控制客户的笔记本电脑,把电信的光猫改配成路由模式,并且将Lan口的网络跳线从路由器的Wan口上拔下来,转而直接插到核心交换机上,客户反应能上外网了,但是无法连接内网的网络驱动器。先将就用吧,总比没网络强啊。
随手带个企业级路由器,火速赶往客户公司。到达之后,首先登录客户的路由器,发现默认的admin帐户无法登录,提示密码错误,但是最近并没人改过,尝试使用备用管理员帐户,登录成功(黑客竟然没删除其他管理员帐户?是仁慈还是忘了?),仔细查看配置,发现默认路由被删除、所有的端口映射被删除,看来是原来设置的弱密码被破解了,还好破坏性不大,这个企业我们接手之后,我正对这台路由器的配置不满意呢,一堆没用的应用,还在里面,所以直接重置了,然后升级了firmware,重新配置互联网以及端口映射,接着把光猫改回到桥接模式,跳线也改回到原来的连接方式,满以为问题就这么简单地解决了,谁知道,客户又反应全部不能上网。。。
分析问题:外网肯定没问题,核心交换机也不会有问题,刚才光猫在路由模式,能上网,路由器刚刚重新配置过,也不会有问题啊,想来想去,不同之处只有一个,光猫的DHCP服务中,下发的DNS服务器是光猫自己的Lan口IP,而路由器上的DHCP服务,下发的DNS服务器是主域控制器的IP,那么问题应该出在主域控制器上!
ping主域控制器,不通!显示器切换到域控画面,汗。。。无法引导,系统文件丢失!糟糕了,优盘WinPe启动服务器,加载了半天,好不容易进入WinPE,发现没有阵列卡驱动,也就看不到硬盘什么状况,好吧,下载阵列卡驱动,PE下直接加载,还好还好,C盘还在,可能只是缺少了启动文件罢了,直接用PE里面的启动修复工具尝试修复,很快提示修复成功,重启服务器。。。
系统顺利启动,太好啦,哈哈哈。。。额。。。不对不对,图标好大、色彩好差,貌似显卡驱动掉了?赶紧安慰自己:算了算了,系统能起来就不错啦!还要怎样?
administrator帐户登录失败,看来命运和路由器一样嘛,还好,备用的管理员帐户竟然又能顺利登录系统(呵呵,看来这个黑客有点嫩?或者说人还不是太坏?),操作鼠标,箭头不动,原来连灯都没亮,经过一番困难的键盘操作(windows系统没鼠标真痛苦啊),好不容易打开“设备管理器”,看到一大堆问号,天哪,所有设备的驱动被卸载了,包括USB驱动和网卡驱动,难怪鼠标不动、网络不通了,我猜是黑客利用sysprep工具捣的鬼吧。
到服务器官网下载了网卡驱动,然而服务器没USB驱动,没法识别优盘啊,怎么拷到服务器上呢?还是得再一次拿WinPE的优盘启动,那就顺便再下载个驱动精灵2019万能网卡版吧。
服务器关机,再次用优盘启动,进入WinPE后,加载阵列卡驱动,正确识别到硬盘后,把优盘上的驱动精灵2019万能网卡版复制到服务器上,单独的网卡驱动也顺便复制了一下,万一驱动精灵不给力呢?
重启服务器,用键盘操作安装驱动精灵2019万能网卡版,只要有网络,什么都好解决,鼠标能用之后,第一时间修改了administrator的密码, 这次一定要超长超复杂三个以上特殊符号的那种密码,防止再次被黑、防止被植入勒索病毒!真幸运,这次竟然没被植入勒索病毒,不然就损失惨重了,想想都后怕!
把IP地址改回到原来的192.168.1.2,客户端还是不能上网。。。这次应该是DNS服务器的问题了,打开服务器管理器中的DNS管理器一看,果然不出我所料,DNS服务器无法启动。
运行services.msc,查看系统服务,DNS服务处于停止状态,并且无法启动
鼠标右键点DNS Server,属性,切换到登录页面,选择为“本地系统帐户”点确定,再次尝试启动DNS服务器,成功
回到DNS管理器,查看转发器配置——正确,再到“监视”页面测试DNS服务器,顺利通过
至此,客户端计算机的内外网访问全部恢复正常,但是我的工作还没做完,这已经是一次成功的入侵了,黑客难道真的只做了这一点点事情?虽然看得出来这们仁兄,可能是个黑客中的初学者,但是我猜他做的一定不止这么多,不管他下次还想来做什么,首先需要帐户和密码,再来一次暴力破解的话,恐怕他没这个耐心了,所以我猜测他一定留了隐藏的管理员帐户——下图中的第一个命令为显示当前的域管理员帐户,第二个命令是删除黑客建立的域管理员,第三个命令是重复的,只是为了确认黑客添加的域管理员是否成功删除。
最后一步,安装安全软件,并且全盘扫描(木马、病毒、恶意程序等),下载并安装系统补丁,提高系统安全性,防止黑客再次入侵。
这个事件告诉我们:1、出入口设备(即网关设备)的管理员帐户和密码一定要复杂,admin帐户如果能够删除或者更改,那是最好的;2、服务器密码一定要复杂,并且要保密,知道的人越少越好,多个管理员最好有各位的用户名和密码;3、域控最好要有第二台;4、文件服务器以及重要的应用备份器,一定要有完善的备份机制,特别需要注意的是,最好要有非在线式冷备份。
电脑网