今天服务器被黑了
根据观察,应该不是SQL inject的攻击方法~
初步估计多数是MS系统的溢出漏洞导致的~
我给黑客留言,希望指点一二,但是对方似乎对帮助我没有什么兴趣,只是多次在首页挂马及挂记数器

于是我决定重整服务器~
首先是利用新版金山毒霸的系统漏洞扫描工具:

先用旧版升级
 点击下载此文件
再用新版升级(新版需要旧版下载的SQL SP4的一个DLL文件)
 点击下载此文件

全面升级了win2000,打上了所有补丁

然后开始对管理员账户、guest账户操刀

事实上,管理员账户没有什么问题,加设20位的随机密码
在IIS使用的IUSR_*****、IWAM_*****两个账户上,我由于学艺不精,犯了致命的错误~
我冒失地把两个账户修改了20位的密码,因为我认为可能系统默认账户,密码只需要防止恶意登陆就行了
很快,我发现网站不能访问……
提示:

程序代码: [ 复制代码 ] [ 运行代码 ]
Server Application Error
The server has encountered an error while loading an application during the processing of your request. Please refer to the event log for more detail information. Please contact the server administrator for assistance.


晕倒……
我以为默认账户是空密码,只需要回复就行,结果把IUSR_*****、IWAM_*****两个账户的密码恢复为空后,依然出错……看来系统对这两个账户原来是有随机密码的……
后悔是没有用的,开始查阅相关资料……

期间过程我就不说了,我自己绕了2个小时的弯路……

用到两个IIS 5.0自带的VBS工具:
 点击下载此文件(下载后直接重新命名为synciwam.vbs)
 点击下载此文件(下载后直接重新命名为adsutil.vbs)

方法有两种:

先来简单的:


利用:
1、获得IUSR密码的方法,在DOS窗口下运行 
cscript.exe adsutil.vbs get w3svc /anonymoususerpass 

2、获得IWAM密码的方法,在DOS窗口下运行 
cscript.exe adsutil.vbs get w3svc /wamuserpass 

获得位于IIS database 的原密码,直接在管理工具中,把IUSR_*****、IWAM_*****两个账户设回原来系统生成的随机密码
(真是简单啊……我一开始走错了,后来麻烦死了……)

这里有个诀窍,
在Windows 2000里,密码默认的显示是星号,必须在对Adsutil.vbs进行编辑 
1、用记事本打开Adsutil.vbs文件 
2、查询到“IsSecureProperty = True” 
3、将属性换成“False” 
4、保存文件
这样出来的密码是明文的~

再来我实际使用的方法:

过程:
右键我的电脑--管理--本地用户和组,给IUSR_*****、IWAM_*****两个用户设置密码,可以不一样。

IUSR的问题:
在管理工具中运行Internet信息服务工具,在IIS控制台中右键点击有问题的论坛。在弹出 对话框中选择“属性”,换到“目录安全性”标签页,点击匿名访问和身份验证控制栏的“编辑”按钮,弹出身份验证方法对话框,这里一定要选中“匿名访问”选项,最后点击“确定”按钮。

IWAM的问题:
2。开始--运行--打cmd,
然后cd C:\Inetpub\AdminScripts
然后cscript.exe adsutil.vbs set w3svc/wamuserpass “你的密码”,这个是上一步IWAM_*****设定的密码
然后cscript.exe adsutil.vbs set w3svc/anonymoususerpass “你的密码”,这个是上一步IUSR_*****设定的密码

3。同步IWAM账号和脚本synciwam.vbs的密码
cscript.exe synciwam.vbs -v,
然后重启IIS

4。应该这一步就可以成功的,但我在第3步的时候出现了8004e00f错误。在网上找了半天资料,发现是MSDTC服务有问题,后来总算搞定了,步骤如下:

1、首先进入组件服务,查看组件服务/计算机/我的电脑/COM+应用程序,结果报错“COM+ 无法与 Microsoft 分布式事务协调程序交谈”,无法查看里面的对象。
2、进入事件查看器,发现msdtc服务没有正常启动。
3、删除注册表中的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC 
HKEY_CLASSES_ROOT\CID 
4、运行CMD,停止MSDTC服务:net stop msdtc
5、卸载MSDTC服务:msdtc -uninstall
6、重新安装MSDTC服务:msdtc -install
7、确认在事件查看器中msdtc服务已经正常启动[这步很关键,如果没有,重新启动下电脑看看],这里有个技巧,查看MSDTC服务是否启动,执行net stop msdtc,提示正在停止和停止成功就对了,再msdtc - install下就OK.
8、重新设置IIS的IWAM账号密码。[在计算机管理中的用户管理里]
9、同步IIS metabase中IWAM_MYSERVER的密码,在CMD中:c:\inetput\adminscripts>adsutil set w3svc/wamuserpass "yourpassword"
10、同步COM+应用程序所用的IWAM_MYSERVER密码,在CMD中:c:\inetput\adminscripts>cscript synciwam.vbs -v
11、大功告成!!!!!
为了回复系统原来的安全设置,我又执行了msdtc -uninstall

一切终于ok~
[上面文章是网上转帖]
下面是我处理的步骤,完全没有那么麻烦:
1.只是在控制面板内用户管理修改密码
2.执行一下c:\inetput\adminscripts>cscript synciwam.vbs -v ,目的是把修改后的密码同步到COM+中即可。
posted on 2009-08-21 12:40  fmxyw  阅读(395)  评论(0编辑  收藏  举报