PTT
Submit
Submit
選擇語言
正體中文
简体中文
PTT
AntiVirus
[討論] Intel AMT + Windows 10 1703被駭
作者:
zxvc
(眾生都是未來佛)
2017-05-24 12:13:30
個人一向的習慣不喜歡裝防毒軟體(怕影響效能),
不亂載程式,定期更新Windows。
(目前的OS是Windows 10 x64 1703 build 15036.296。)
已這樣作好一段時間了,但不幸的昨晚破功了。
昨晚在遠端桌面到我的Win 10 PC時,發現居然無法登入,
而是顯示已有一個IIS_USER的帳號已登入了。
後來想用Intel AMT的管理介面登入救援,
但使用OpenMDTK:
http://www.meshcommander.com/open-manageability
的Manageability Commander Tool卻無法登入。
web登入介面可以開啟,但輸入帳密也無法登入。
但奇怪的是我回到本機PC操作,開機按Ctrl+P後,使用原密碼卻可以登入!
又奇怪的是當我在Windows 10要裝防毒軟體時,
居然有人用AMT的VNC連到我的電腦!(因為有人連進來,螢幕會閃一個框)
當下我開notepad,輸入:
How do you crack my computer?
Please tell me.
那個人就切斷VNC連線。
話說我還用Event Viewer查了一下IIS_USER的登入IP,來自台灣:
123.51.185.113
目前我在救援我的電腦,裝了Kaspersky,抓到一些trojan。
還發現駭客在我電腦裝了一些駭客工具:
https://github.com/gentilkiwi/mimikatz
目前是用Kaspersky作完整掃描中...
但目前有一未解問題,
就是只要Windows重開機後IIS_USER這個駭客建的帳號就會自動還原,
而且是管理者身分!請問有沒有人知道除了重灌的解法?T.T
作者:
greg7575
(顧家)
2017-05-24 12:33:00
拜託你直接重灌
作者:
xingwhitecat
(星白貓)
2017-05-24 12:38:00
很可怕的病毒哈哈哈
作者:
pi2324
(我愛PTT)
2017-05-24 12:39:00
之前用vpn被try一氣之下把所有遠端的東西都給關了。網路無安全
作者:
p72910
(總是有刁民想害朕)
2017-05-24 12:43:00
有ip就可以提告了
作者:
zxvc
(眾生都是未來佛)
2017-05-24 12:43:00
謝謝g大建議,不過重灌前研究一下駭客入侵所留下的線索也滿有用的。像我進一步查出,駭客應該是利用AMT入侵的,我發現AMT被建了一些帳號,比如admon, user2。目前只好關閉AMT囧駭客似乎沒駭進我的Windows帳號,所以才建了一個IIS_USER帳號,但他是怎麼建的?不然我認為只要有人在我電腦前就能用相同手法(等同用AMT)建帳號囧
作者: play68277 (月不語)
2017-05-24 12:51:00
http://www.ithome.com.tw/news/113815
是用這個漏洞
作者:
zxvc
(眾生都是未來佛)
2017-05-24 12:52:00
謝謝p大。Kaspersky掃描看來解不了IIS_USER帳號問題,只好重灌了T.T
作者:
junorn
(威廉華勒斯)
2017-05-24 13:45:00
123.51.185.113我這邊查是對岸那邊的IP?
作者:
zxvc
(眾生都是未來佛)
2017-05-24 14:52:00
我用這個查IP:
https://www.iplocation.net/
作者:
belion
(滅)
2017-05-24 15:54:00
重+用一個中間的的媒介上網,好比有防火牆功能的ip分享器重灌+
作者: KevinYu0504 (KevinYu)
2017-05-24 16:36:00
123.51.185.113 我查了之後是遠傳,速博,新世紀資通旗下的網域。
作者:
joygreentea
(Joy)
2017-05-24 16:53:00
所以這個漏洞就只能關遠端了嗎?還是已經有更新包修補了?
作者: play68277 (月不語)
2017-05-24 17:13:00
https://goo.gl/dFWsQJ
作者:
zxvc
(眾生都是未來佛)
2017-05-24 17:20:00
謝謝p大。但我還是有個疑惑,我的AMT密碼與Windows密碼不同。AMT如果先被破了,Windows應該沒那麼輕易被破!?駭客似乎不知我Windows密碼,才另建一個IIS_USER管理者帳號
作者:
HELLDIVER
(Ζzz...)
2017-05-24 17:23:00
IP應該是香港那邊
作者:
zxvc
(眾生都是未來佛)
2017-05-24 17:23:00
,再裝mimikatz駭客工具想破我的Windows密碼!?
作者:
HELLDIVER
(Ζzz...)
2017-05-24 17:25:00
更正 廣東
作者:
zxvc
(眾生都是未來佛)
2017-05-24 18:19:00
survey了一下,駭客有可能破了AMT後,用AMT的遠端掛載ISO載入自己的駭客OS。推論可能用此法新增管理者帳號...再沒有更多線索的情形下,建議大家先去BIOS關閉AMT。感謝pl大提供重要建議。此網址有各家AMT韌體更新時程:
http://intel.ly/2ps23kn
作者:
hmj
(= 王傑 瘋子 賣到缺貨 =)
2017-05-25 15:12:00
有ip去報案就ㄧ定能找出是誰駭進來。
作者:
go1717
(go一起一起當神)
2017-05-25 18:59:00
IP也許是跳板
作者:
FantasyNova
(F.N)
2017-05-26 11:22:00
可借ISP取得來源
繼續閱讀
[問題]system volume information和$recycle.bin
Resario
[求救] 升級win10後卡巴無法安裝
sshyang
[情報] 趨勢推出 WannaCry 解密工具了!
Schubert
[問題] AVAST 無法註冊?
UncleJ
Re: [求救]如何刪掉綁架軟體initialpage123
holiday138
[求救] 滑鼠一下有效一下失效
nature23306
Re: [新聞] WannaCry勒索病毒苦主出爐,Windows 7高
mayuyu
[問題] Acer筆電內 McAfee到期
sodada
Fw: [新聞] WannaCry勒索病毒苦主出爐,Windows 7高
hn9480412
[問題] 這個應該是釣魚信件吧
c3632571
Links
booklink
Contact Us: admin [ a t ] ucptt.com