作者zxvc (眾生都是未來佛)
看板AntiVirus
標題[討論] Windows 10 1703被駭
時間Wed May 24 12:13:30 2017
個人一向的習慣不喜歡裝防毒軟體(怕影響效能),
不亂載程式,定期更新Windows。
(目前的OS是Windows 10 x64 1703 build 15036.296。)
已這樣作好一段時間了,但不幸的昨晚破功了。
昨晚在遠端桌面到我的Win 10 PC時,發現居然無法登入,
而是顯示已有一個IIS_USER的帳號已登入了。
後來想用Intel AMT的管理介面登入救援,
但使用OpenMDTK:
http://www.meshcommander.com/open-manageability
的Manageability Commander Tool卻無法登入。
web登入介面可以開啟,但輸入帳密也無法登入。
但奇怪的是我回到本機PC操作,開機按Ctrl+P後,使用原密碼卻可以登入!
又奇怪的是當我在Windows 10要裝防毒軟體時,
居然有人用AMT的VNC連到我的電腦!(因為有人連進來,螢幕會閃一個框)
當下我開notepad,輸入:
How do you crack my computer?
Please tell me.
那個人就切斷VNC連線。
話說我還用Event Viewer查了一下IIS_USER的登入IP,來自台灣:
123.51.185.113
目前我在救援我的電腦,裝了Kaspersky,抓到一些trojan。
還發現駭客在我電腦裝了一些駭客工具:
https://github.com/gentilkiwi/mimikatz
目前是用Kaspersky作完整掃描中...
但目前有一未解問題,
就是只要Windows重開機後IIS_USER這個駭客建的帳號就會自動還原,
而且是管理者身分!請問有沒有人知道除了重灌的解法?T.T
--
楞嚴咒(附注音):
http://1drv.ms/1c0YbNt
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.115.73.148
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1495599215.A.6BE.html
※ 編輯: zxvc (140.115.73.148), 05/24/2017 12:16:00
1F:推 greg7575: 拜託你直接重灌 05/24 12:33
2F:推 xingwhitecat: 很可怕的病毒哈哈哈 05/24 12:38
3F:推 pi2324: 之前用vpn被try一氣之下把所有遠端的東西都給關了。網路無 05/24 12:39
4F:→ pi2324: 安全 05/24 12:39
5F:推 p72910: 有ip就可以提告了 05/24 12:43
6F:→ zxvc: 謝謝g大建議,不過重灌前研究一下駭客入侵所留下的線索也滿 05/24 12:43
7F:→ zxvc: 有用的。像我進一步查出,駭客應該是利用AMT入侵的,我發現 05/24 12:44
8F:→ zxvc: AMT被建了一些帳號,比如admon, user2。 05/24 12:45
9F:→ zxvc: 目前只好關閉AMT囧 05/24 12:46
10F:→ zxvc: 駭客似乎沒駭進我的Windows帳號,所以才建了一個IIS_USER帳 05/24 12:48
11F:→ zxvc: 號,但他是怎麼建的?不然我認為只要有人在我電腦前就能用相 05/24 12:49
12F:→ zxvc: 同手法(等同用AMT)建帳號囧 05/24 12:49
14F:→ zxvc: 謝謝p大。 05/24 12:52
15F:→ zxvc: Kaspersky掃描看來解不了IIS_USER帳號問題,只好重灌了T.T 05/24 12:57
16F:推 junorn: 123.51.185.113我這邊查是對岸那邊的IP? 05/24 13:45
18F:→ belion: 重+用一個中間的的媒介上網,好比有防火牆功能的ip分享器 05/24 15:54
19F:→ belion: 重灌+ 05/24 15:55
20F:→ KevinYu0504: 123.51.185.113 我查了之後是遠傳,速博,新世紀資通 05/24 16:36
21F:→ KevinYu0504: 旗下的網域。 05/24 16:36
22F:推 joygreentea: 所以這個漏洞就只能關遠端了嗎?還是已經有更新包修 05/24 16:53
23F:→ joygreentea: 補了? 05/24 16:53
25F:→ zxvc: 謝謝p大。但我還是有個疑惑,我的AMT密碼與Windows密碼不同 05/24 17:20
26F:→ zxvc: 。AMT如果先被破了,Windows應該沒那麼輕易被破!? 05/24 17:21
27F:→ zxvc: 駭客似乎不知我Windows密碼,才另建一個IIS_USER管理者帳號 05/24 17:22
28F:→ HELLDIVER: IP應該是香港那邊 05/24 17:23
29F:→ zxvc: ,再裝mimikatz駭客工具想破我的Windows密碼!? 05/24 17:23
30F:→ HELLDIVER: 更正 廣東 05/24 17:25
31F:→ zxvc: survey了一下,駭客有可能破了AMT後,用AMT的遠端掛載ISO載 05/24 18:19
32F:→ zxvc: 入自己的駭客OS。推論可能用此法新增管理者帳號... 05/24 18:21
33F:→ zxvc: 再沒有更多線索的情形下,建議大家先去BIOS關閉AMT。感謝pl 05/24 18:22
34F:→ zxvc: 大提供重要建議。 05/24 18:22
※ 編輯: zxvc (36.228.51.190), 05/24/2017 18:27:49
36F:推 hmj: 有ip去報案就ㄧ定能找出是誰駭進來。 05/25 15:12
37F:推 go1717: IP也許是跳板 05/25 18:59
38F:推 FantasyNova: 可借ISP取得來源 05/26 11:22