напоролся на интересную проблему:
хакнули одиноко стоящий сервер. НТ4 СП6, Exchange 5.5, IIS 4(Web).
Залили на винт 2 Гб какой-то хреноты, ну это ладно, но на диске D:(NTFS) создали пару директорий, что-то вроде: "этот сервак уже похачен, так что валите нафик злые хакеры". Так вот маза в том, что эти директории НТ-я не хочет удалять, пишет - "директория не существует".
Вопрос: как это было сделано, и как это убрать соответственно.
Форматом можно, это я и сам знаю.
> напоролся на интересную проблему: > хакнули одиноко стоящий сервер. НТ4 СП6, Exchange 5.5, IIS > 4(Web). > Залили на винт 2 Гб какой-то хреноты, ну это ладно, но на > диске D:(NTFS) создали пару директорий, что-то вроде: "этот > сервак уже похачен, так что валите нафик злые хакеры". Так > вот маза в том, что эти директории НТ-я не хочет удалять, > пишет - "директория не существует". > Вопрос: как это было сделано, и как это убрать > соответственно. > Форматом можно, это я и сам знаю.
Запусти chkdsk на этот диск с автоисправлением ошибок. Про предварительный бэкап не напоминаю...
> пробовал, ошибок не находит, выглядит все очень > благополучно. > Хочу знать КАК это сделано?
Take ownership на это дело, видимо не помогает? Тогда есть еще такой вариант, что создавались каталоги с пробелом в начале или конце имени, в этом случае стандартные средства, кажется, должны дать примерно такую же картину.
Насколько я помню (очень смутно, на самом деле) старое обсуждение в ru.windows.nt, такие имена удается получить при создании то ли хардлинков, то ли симлинков, а удалить - чем-нибудь типа posix-утилиты из ресурс кита rm.exe.
> > пробовал, ошибок не находит, выглядит все очень > > благополучно. > > Хочу знать КАК это сделано? > > Take ownership на это дело, видимо не помогает? Тогда есть > еще такой вариант, что создавались каталоги с пробелом в > начале или конце имени, в этом случае стандартные средства, > кажется, должны дать примерно такую же картину. > Насколько я помню (очень смутно, на самом деле) старое > обсуждение в ru.windows.nt, такие имена удается получить > при создании то ли хардлинков, то ли симлинков, а удалить - > чем-нибудь типа posix-утилиты из ресурс кита rm.exe.
а как это было сделано? судя по всему по фтп. но как именно, где б почитать?
причем анон. доступ был закрыт.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
