處理步驟:
一、立即執行
1、更改系統管理員賬戶的密碼,密碼長度不小於8位並且使用大寫字母 小寫字母 數字 特殊字符組合;
2、更改遠程登錄端口並開啟防火牆限制允許登錄的IP,防火牆配置只開放特定的服務端口並對FTP、數據庫等這些不需要對所有用戶開放的服務進行源IP訪問控制;
3、檢查是否開放了未授權的端口:
Ø windows在CMD命令行輸入nestat/ano,檢查端口;有開放端口的根據PID檢查進程,刪除對應路徑文件(根據PID檢查進程步驟:開始-->運行-->輸入“msinfo32” 軟件環境-->正在運行的任務 )
Ø linux 輸入命令 netstat –anp查看
4、刪除系統中未知賬戶,windows系統還需要檢查注冊表中的SAM鍵值是否有隱藏賬戶;
5、假如有WEB服務的,限制web運行賬戶對文件系統的訪問權限,只開放僅讀權限。
二、後期防御
1、windows檢查登錄事件審核策略是否已開啟,開啟後可以在windows日志中查看登錄日志(開啟的操作步驟:開始-->運行-->輸入“gpedit.msc”-->windows設置-->本地策略-->審核策略);
2、windows系統要及時更新系統補丁;
3、限制WEB Server運行賬戶對文件系統的訪問權限,一般只開放僅讀權限;
4、數據庫、FTP服務等訪問權限可以通過防火牆對訪問源IP進行限制。
