伺服器似乎修改了很多。我無法啟動/運行/執行許多任務,例如任務管理器、伺服器備份、命令列密碼變更等。
使用者名稱、全名與描述不符。現在管理員可能不再是管理員了。
我無法啟用/停用帳戶。
伺服器被用作暴力攻擊者:DuBrute 正在運行。
我嘗試重新啟動,發生 SAM 初始化錯誤並出現 BSOD。我可以從舊副本中還原 SAM 檔案。
現在我不能做很多事。看起來伺服器一周前就被黑客入侵了 - 文件創建日期說 -
我發現了一些像這樣的註冊表文件:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin
我可以清除這些混亂的情況還是必須從備份中恢復?
答案1
如果您可以執行包含所有系統狀態的完整恢復,那麼最好從備份中恢復。實際上,最好將其完全重建為新系統並恢復所需的資料。您確實需要找出您的系統是如何受到損害的,以防止它再次發生或發生在網路中的其他系統上。
答案2
從備份恢復。如果這是網域控制器,您需要掃描其他 DC,並且可能想要強制變更所有帳戶的密碼。