El servidor parece muy modificado. No puedo iniciar/ejecutar/realizar muchas tareas como el Administrador de tareas, la Copia de seguridad del servidor, el cambio de contraseña de la línea de comandos, etc.
Los nombres de usuario y los nombres completos no coinciden con sus descripciones. Ahora el Administrador puede no ser el administrador.
No puedo habilitar/deshabilitar cuentas.
El servidor está siendo utilizado como atacante de fuerza bruta: DuBrute se estaba ejecutando.
Intenté reiniciar, se produjo un error de inicio de SAM y apareció BSOD. Pude recuperar el archivo SAM de una copia anterior.
Ahora no puedo hacer muchas cosas. Parece que el servidor fue pirateado hace una semana (las fechas de creación del archivo dicen)
Encontré algunos archivos de registro como este:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin
¿Puedo limpiar ese desastre o tengo que restaurar desde la copia de seguridad?
Respuesta1
Probablemente sea mejor restaurar desde la copia de seguridad, siempre que pueda realizar una restauración completa que incluya todo el estado del sistema. De hecho, sería mejor reconstruirlo completamente como un sistema nuevo y restaurar los datos que necesita. Realmente necesitaría descubrir cómo se vio comprometido su sistema para evitar que esto vuelva a suceder o que afecte a otros sistemas de su red.
Respuesta2
Reinstalar desde el respaldo. Si se trata de un controlador de dominio, deberá escanear sus otros controladores de dominio y es posible que desee forzar un cambio de contraseña en todas las cuentas.