今天使用杀毒软件查杀服务器时,发现这个文件为后门病毒,且被替换为了cmd的文件。尝试了下,在未登陆的情况下,按shift五下,竟然调用出了命令窗口。幸好及时发现了。
网上找了资料,希望亲们自检下服务器,一定要注意安全。
基本信息
进程文件: sethc 或者 sethc.exe
进程名称: sethc.exe
描述:Windows的粘滞键。是按5下shift后,windows就执行了system32下的sethc.exe。
它本来是为不方便按组合 键的人设计的。
位置:c:\windows\system32\sethc.exe
出品者: Microsoft Corp.
属于: Windows
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 996K
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
广告软件: 否
木马: 否
对sethc.exe后门的解决办法
打开你的windows2003服务器3389远程管理客户端,然后连续按5下shift键。看看有什么东西!直接调用的粘置窗口的程序sethc.exe,很多黑客会CMD.exe文件来替换此文件的方式给自己留后门,一般该文件都具有users组的权限,现在的IDC在机器原始配置的时候都很少注意权限分配,再加上一些管理员对这些很陌生,所以很多人忽视了这个地方。[1]
解决办法: 打开你的system32目录,寻找sethc.exe文件,默认情况,管理员是不能编辑此文件的,因为默认权限是继承不允许的。所以,在改文件上打开右键,选择“属性”,选择“安全”选项卡,再点击“高级”按钮,把“从父项继承……”前面的对勾去掉,然后确定一下。接下来有两种方式:一是删除所有组的权限,就是大家都用不了该文件,另一种是添加一个everyone组,然后设置该组的所有权限都是“拒绝”,效果是一样的,反正就是大家都玩不了。 还有另外一个位置/%systemroot%/system32/dllcache目录下,也使用同样的方法设置sethc.exe.
这样你的服务器就至少在这个文件生出现什么问题了