Der Server scheint stark verändert worden zu sein. Ich kann viele Aufgaben wie den Task-Manager, die Serversicherung, das Ändern des Kennworts über die Befehlszeile usw. nicht starten/ausführen/durchführen.
Benutzernamen und vollständige Namen stimmen nicht mit ihren Beschreibungen überein. Der Administrator ist möglicherweise nicht der Administrator.
Ich kann Konten nicht aktivieren/deaktivieren.
Server wird als Brute-Force-Angreifer verwendet: DuBrute wurde ausgeführt.
Ich habe versucht, neu zu starten, es trat ein SAM-Init-Fehler auf und es wurde ein BSOD angezeigt. Ich konnte die SAM-Datei von einer älteren Kopie wiederherstellen.
Jetzt kann ich nicht mehr viel machen. Es sieht so aus, als wäre der Server vor einer Woche gehackt worden - die Dateierstellungsdaten sagen:
Ich habe einige Registrierungsdateien wie diese gefunden:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin
Kann ich dieses Durcheinander beseitigen oder muss ich es aus einer Sicherungskopie wiederherstellen?
Antwort1
Es wäre wahrscheinlich am besten, aus einer Sicherung wiederherzustellen, vorausgesetzt, Sie können eine vollständige Wiederherstellung einschließlich des gesamten Systemstatus durchführen. Tatsächlich wäre es besser, es vollständig als neues System neu aufzubauen und die benötigten Daten wiederherzustellen. Sie müssten wirklich herausfinden, wie Ihr System kompromittiert wurde, um zu verhindern, dass dies erneut oder mit anderen Systemen in Ihrem Netzwerk passiert.
Antwort2
Aus Backup wiederherstellen. Wenn dies ein Domänencontroller ist, müssen Sie Ihre anderen Domänencontroller scannen und möglicherweise eine Kennwortänderung für alle Konten erzwingen.