서버가 많이 수정된 것 같습니다. 작업 관리자, 서버 백업, 명령줄 암호 변경 등과 같은 많은 작업을 시작/실행/수행할 수 없습니다.
사용자 이름, 전체 이름이 설명과 일치하지 않습니다. 이제 관리자는 관리자가 아닐 수도 있습니다.
계정을 활성화/비활성화할 수 없습니다.
서버가 무차별 공격자로 사용되고 있습니다. DuBrute가 실행 중이었습니다.
재부팅을 시도했는데 SAM 초기화 오류가 발생하고 BSOD가 나타났습니다. 이전 복사본에서 SAM 파일을 복구할 수 있었습니다.
이제 나는 많은 일을 할 수 없습니다. 일주일 전에 서버가 해킹당한 것 같습니다 - 파일 생성 날짜는 다음과 같습니다 -
다음과 같은 몇 가지 레지스트리 파일을 찾았습니다.HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin
그 혼란을 지울 수 있습니까, 아니면 백업에서 복원해야 합니까?
답변1
모든 시스템 상태를 포함하여 전체 복원을 수행할 수 있다면 백업에서 복원하는 것이 가장 좋습니다. 실제로는 새로운 시스템으로 완전히 재구축하고 필요한 데이터를 복원하는 것이 더 나을 것입니다. 이러한 문제가 다시 발생하지 않도록 방지하거나 네트워크의 다른 시스템에 손상을 입히려면 시스템이 어떻게 손상되었는지 알아내야 합니다.
답변2
백업에서 복원합니다. 도메인 컨트롤러인 경우 다른 DC를 검색해야 하며 모든 계정에 대해 비밀번호를 강제로 변경해야 할 수 있습니다.