• sethc.exe后门


     今天使用杀毒软件查杀服务器时,发现这个文件为后门病毒,且被替换为了cmd的文件。尝试了下,在未登陆的情况下,按shift五下,竟然调用出了命令窗口。幸好及时发现了。

    网上找了资料,希望亲们自检下服务器,一定要注意安全。

    基本信息

    进程文件: sethc 或者 sethc.exe
    进程名称: sethc.exe
    描述:Windows的粘滞键。是按5下shift后,windows就执行了system32下的sethc.exe。
    它本来是为不方便按组合 键的人设计的。 
    位置:c:\windows\system32\sethc.exe
    出品者: Microsoft Corp.
    属于: Windows
    系统进程: 是
    后台程序: 是
    使用网络: 否
    硬件相关: 否
    常见错误: 未知N/A
    内存使用: 996K
    安全等级 (0-5): 0
    间谍软件: 否
    Adware: 否
    广告软件: 否
    木马: 否

    对sethc.exe后门的解决办法

    打开你的windows2003服务器3389远程管理客户端,然后连续按5下shift键。看看有什么东西!直接调用的粘置窗口的程序sethc.exe,很多黑客会CMD.exe文件来替换此文件的方式给自己留后门,一般该文件都具有users组的权限,现在的IDC在机器原始配置的时候都很少注意权限分配,再加上一些管理员对这些很陌生,所以很多人忽视了这个地方。[1]
    解决办法: 打开你的system32目录,寻找sethc.exe文件,默认情况,管理员是不能编辑此文件的,因为默认权限是继承不允许的。所以,在改文件上打开右键,选择“属性”,选择“安全”选项卡,再点击“高级”按钮,把“从父项继承……”前面的对勾去掉,然后确定一下。接下来有两种方式:一是删除所有组的权限,就是大家都用不了该文件,另一种是添加一个everyone组,然后设置该组的所有权限都是“拒绝”,效果是一样的,反正就是大家都玩不了。 还有另外一个位置/%systemroot%/system32/dllcache目录下,也使用同样的方法设置sethc.exe.
    这样你的服务器就至少在这个文件生出现什么问题了
  • 相关阅读:
    Balsamiq Mockups完全手册[转]
    如何成为一个专家
    [ 转]discuz 的加密与解密函数authcode解析
    无题
    [转]Yahoo!网站性能最佳体验的34条黄金守则——内容
    唐僧的家书
    Webservice超时问题
    c#类的初始化顺序
    智力逻辑题程序实现(生日猜测)
    Winform下重写Button按钮
  • 原文地址:https://www.cnblogs.com/fogwang/p/sethc_backdoor.html
Copyright © 2020-2023  润新知