服务器似乎经过了大量修改。我无法启动/运行/执行许多任务,例如任务管理器、服务器备份、命令行密码更改等。
用户名、全名与描述不符。现在管理员可能不是管理员。
我无法启用/禁用帐户。
服务器正被用作暴力攻击者:DuBrute 正在运行。
我尝试重新启动,出现 SAM 初始化错误并出现 BSOD。我可以从旧副本中恢复 SAM 文件。
现在我很多事情都做不了。看起来服务器一周前就被黑客入侵了 - 文件创建日期显示-
我发现了一些类似的注册表文件:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin
我可以清除这些混乱吗或者我必须从备份中恢复?
答案1
如果您可以进行完整恢复(包括所有系统状态),那么从备份中恢复可能是最好的选择。实际上,最好将其完全重建为新系统并恢复所需的数据。您确实需要找出您的系统是如何受到损害的,以防止这种情况再次发生或影响您网络中的其他系统。
答案2
从备份中恢复。如果这是域控制器,则需要扫描其他 DC,并且可能需要强制更改所有帐户的密码。