这不是废话吗，冲击波一样的模式，25，80，135,137,139,3389,基本就这几个，直接做个协议，之出不进，什么攻击都拿你没辙， 我目前就设置，只有我允许的几个端口可以访问服务器，其他只出不入

这么牛逼

目前我这客户只保留 web和远程端口一样被日

本帖最后由 ahao358 于 2017-4-26 10:17 编辑

我也中弹了。
用户里多了一个管理员帐户，开了来宾。
服务里多了一个奇怪的。
防火墙里开了ICMP所有，怀疑是通过这，印象中没开防火墙，黑人好象帮我开了。
其他的目前还看不出来，水平有限。

补充：
windows目录下有un.exe csrss.exe winsxslog.rar等几个可疑文件。

2008 64感觉跟出了0day一样

我的腾讯云也被黑了。3389端口默认。

感觉是有0DAY了，那机器就用来挂机，远程桌面没开，防火墙也没开，但还是被日了。
现在删除那可疑服务和相关文件，取消远程桌面，删除那防火墙ICMP全开规则，目前还没发现其他情况，现在在更新，不知道黑人还有没有开放其他。现在更新没动静，等了好久，只能继续观察了

不一定，原来设置是密码永不过期，被黑后发现异常时是出现这，机器还不定时重启，后来发现如我上面回复说的情况了。

详情请搜索：Windows系统 SMB/RDP远程命令执行漏洞

2008还是2008R2?