當(dāng)系統(tǒng)用戶被克隆之后，更改管理員也無濟于事，服務(wù)器上面的信息和數(shù)據(jù)還是被攻擊者隨意竊取。所以必須把克隆的用戶清除，再做其它方面的安全檢查。
在檢查是否存在克隆用戶前，最好重啟一下系統(tǒng)。對于上面第六和第七種方法克隆的，就會在用戶管理里顯示出來了，一看就知道。如圖13所示。

圖13

1.使用MT檢查

在cmd命令行下，使用“mt–chkuser”命令，檢查系統(tǒng)克隆賬號，輸入命令后，會在屏幕中輸出結(jié)果，主要查看ExpectedSID和CheckedSID，如果這兩個值不一樣則說明賬號被克隆了。如圖14所示。

圖14

從圖中可以看出，IUSR_XODU5PTT910NHOO用戶的ExpectedSID和CheckedSID不一樣，且它的CheckedSID值是和管理員administrator的CheckedSID值一樣，很明顯IUSR_XODU5PTT910NHOO是一個克隆的賬號。

2.使用AIO檢查

不需要在system權(quán)限下也可用。
用法: Aio.exe –CheckClone，如圖15所示。

圖15

從圖可以看出，n3tl04d,n3tl04d$都是克隆的賬號。

3.使用CCA檢查

CCA是小榕寫的檢查是否存在克隆的賬號，支持遠(yuǎn)程檢查，但必須有管理員賬號。
用法如下：cca.exe \\ip地址 用戶名 密碼
檢查本機是否存在克隆用戶，如cca \\127.0.0.1 administrator 123456
如圖16所示。

圖16

4.使用LP_Check檢查

如果系統(tǒng)存在克隆用戶，軟件將會顯示紅色。不過此工具檢測不到使用adhider.exe克隆的用戶。如圖17所示。

圖17

只檢測到n3tl04d一個克隆的用戶（顯示紅色）,事實上還存在另一個克隆的賬號n3tl04d$，但它沒有檢測出來。

5.手工檢查

(1)對于系統(tǒng)默認(rèn)用戶，如guest、IUSR_XODU5PTT910NHOO，可使用“net user IUSR_XODU5PTT910NHOO”命令查看最后登錄日期，如圖18所示。

圖18

從圖可以看出，IUSR_XODU5PTT910NHOO在2008-12-4登錄過系統(tǒng)，此賬號默認(rèn)是是顯示“上次登錄 從不”，因此可以判定賬號已被克隆過。

(2)查看系統(tǒng)登錄日志

Windows 2003的用戶登錄審核是默認(rèn)開啟的，如果有某個時間內(nèi)發(fā)現(xiàn)不明的登錄日志，如圖19所示。

圖19

在21:46左右,管理員并未登錄系統(tǒng)，說明有其它用戶登錄過系統(tǒng)，點擊就可以看到是哪個用戶登錄了，如圖20所示。

圖20

從圖可以看出， n3tl04d$在21:46登錄過系統(tǒng)，說明此賬號就是被克隆的賬號了。如果日志全沒，管理員又沒自己刪除過，那肯定是入侵者刪除的，說明系統(tǒng)肯定是被入侵了。此方法的不好之處就是要查看日志，如果攻擊者很少登錄的話，就難以被發(fā)現(xiàn)。

(3)查看注冊表

首先運行regedt32.exe，展開注冊表到HKEY_LOCAL_MACHINE\SAM\SAM，然后點菜單欄的“編輯”→“權(quán)限”，會彈出“SAM的權(quán)限”窗口，點擊Administrators，在該窗口中勾選允許完全控制，然后點擊“確定”按鈕。再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\Names，查看是否存在不明的用戶，如圖21所示。

圖21

此方法只能對添加新用戶克隆有效，如果克隆的是系統(tǒng)默認(rèn)賬號，如guest、IUSR_MACHINE等賬號，需要導(dǎo)出兩個用戶的鍵值，然后對比F項，如果IUSR_MACHINE的F值和管理員的F項的值相同，說明已被克隆了。如圖22所示。

圖22

從圖中可以看出，3EB的F項的值和管理員1F4的值是一樣，說明SID為3EB的這個賬號是克隆賬號。

6.刪除克隆用戶

（1） 如果是系統(tǒng)默認(rèn)賬號被克隆的話，先到一臺正常電腦上，同樣方法，復(fù)制相同用戶下面的F項的值，如你發(fā)現(xiàn)的是IUSR_MACHINE(machine為機器名)用戶被克隆，就打開一臺正常電腦的注冊表，找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\000003EA，導(dǎo)出注冊表，保存為3EA.reg，同樣，回到被入侵過的電腦，導(dǎo)入被克隆過的用戶注冊表值為3eb.reg，接著就是把3ea.reg里面的F值復(fù)制替換3eb.reg里的F值，再把里面的ea改為eb（改這個的原因是因為兩臺電腦的IUSR_MACHINE用戶的SID不一樣，如果是一樣，就不需要更改），如圖23所示。

圖23

保存后再導(dǎo)入注冊表，然后在cmd下使用“net user IUSR_MACHINE n3tl04d520mm”更換密碼。

如果是添加用戶式的克隆可使用以下方法

（2）使用MT刪除克隆用戶

在cmd命令下輸入“mt -killuser 用戶名”
如：mt -killuser n3tl04d，成功后n3tl04d賬號就不存在了，如圖24所示。

圖24

（3）使用AIO刪除克隆用戶

在cmd命令下輸入“Aio.exe -DelUser 用戶名”
如: Aio.exe -DelUser n3tl04d，成功后n3tl04d用戶就被刪除了。如圖25所示。

圖25

四、總結(jié)與探討

由于條件等各方面的限制，此次全部操作都是在Windows 2003環(huán)境下完成，可能會有些不對的地方，請大家多多指正。

如果發(fā)現(xiàn)被克隆，有人說要重裝系統(tǒng)，個人認(rèn)為那是不明智的選擇，特別是服務(wù)器作為虛擬主機的時候，你把客戶的網(wǎng)站都停掉，造成的損失，誰來負(fù)責(zé)？再說，如果入侵是服務(wù)器配置不當(dāng)，或者其它網(wǎng)站漏洞造成的，單單重裝系統(tǒng)，并沒有把原來的漏洞修補上，攻擊者可以照著原路再一次把你的系統(tǒng)攻陷。但僅僅刪除被克隆的用戶也是遠(yuǎn)遠(yuǎn)不夠的，還需要更改所有管理員密碼。除此之外，個人認(rèn)為還是應(yīng)該對服務(wù)器做一次完整的安全檢測和安全加固，如果能力有限，可以找相關(guān)的安全組織或公司幫你做。如果有需要，安天365團隊愿意提供服務(wù)。

最新評論