前几天,客户那边来电话说业务系统上不去了,远程连接发现密码也被改了,数据也没有备份出来,所以想使用 PE工具进入破解密码,具体的方法不多讲了,很多PE工具是自带更改密码的工具的,我们只要一步一步的按着工具的修改步骤修改就好了。
首先,发现这个服务器使用了raid技术,这他服务器重启之后首先加载的不是硬盘,而是这个raid驱动,如果使用PE进入的话,是识别不出服务器硬盘的,我们首先是要将这个服务器raid的驱动找到,向客户要驱动光盘或者问联想客服要,找到这个驱动之后,将那几个文件放到U盘的根目录之下,这样就容易加载这个raid驱动。
我是向联想技术人员要的raid驱动,文件如下图:
放到根目录下,如图:
这个进入PE之后,在U盘里右键安装,就能看见服务器硬盘了,将需要的文件备份数来,顺便将密码破解了。
破解完密码之后,我 进入了服务器,发现这台服务器被感染了木马程序,使用360杀毒扫描了全盘,发现总共扫描了二十万九千个文件,有二万个文件被感染或者有威胁,数据备份之后,查看tnsname.ora文件,发现协议被改了,所以认定这台服务器成为肉鸡了,所以打算备份数据库、发布程序之后,准备重装系统了。
接下来,从联想技术人员了解到,这种服务器的安装使用U盘驱动系统或者光驱安装,但这太服务器没有光驱,我只能将server 2008 r2刻录到我U盘,从U盘启动。
第一步 服务器重启之后,按F1进入BIOS(不同的服务器可能不一样,比如dell,看界面上的提示进入就可以了)
设置BIOS中如下参数:
Boot Manager-Boot Mode改为【Legacy Only】
Miscellaneous Boot Settings-Storage OpROM Policy 改为【Legacy Only】
F10保存后,重启服务器
第二步 好了,从U盘进入之后,选择加载驱动程序,一定要注意这个raid驱动程序的修改日期一定要大于这个服务器声场日期,我就因为联想技术人员给了一个2015年三月的raid驱动,而服务器生产日期是2015年四月,导致驱动出现了如下错误
出错
重新要到了一个2016年的raid驱动之后,才正常看见了服务器硬盘:
重新分区,然后安装,入下
这系统安装一切正常,设置的用户什么的,也能进入系统,但是接下来噩梦开始了。
我由于没有安装服务器驱动,就直接安装了IIS,oracle,虚拟光驱,vs2010工具,当安装到vs2010需要重启时,出现了"A disk read error occurred Press ctrl+alt+del to restart"
磁盘读些出错,服务器突然很响,联系联想技术人员,说需要重装系统了。
首先,先初把raid始化了,进入到 boot manager下的Misscellaneous boot setting,找到raid 选项,如下
选择DRIVER MANAGEMENT
选择Select Virtual Driver Operations
、
然后stop Operation,这样就把raid给初始化了
按F10保存,再从U盘启动安装操作系统。
这时发现找不到U盘启动选项了,只剩下一个raid,如下
进入到 boot manager
进入到legacy hard disk drivers中将U盘设为第一顺序
F10保存重启之后,就能U盘启动安装系统了,如之前安装就好了。
安装好系统之后,问联想客服要了四个驱动,分别是芯片组、USB、网卡、显卡,如下
芯片组:http://support1.lenovo.com.cn/lenovo/wsi/Modules/DriverDetailServer.aspx?ID=47107
USB:http://support1.lenovo.com.cn/lenovo/wsi/Modules/DriverDetailServer.aspx?ID=46999
网卡:http://support1.lenovo.com.cn/lenovo/wsi/Modules/DriverDetailServer.aspx?ID=79291
显卡:http://support1.lenovo.com.cn/lenovo/wsi/Modules/DriverDetailServer.aspx?ID=47065
进入到系统安装好这四个驱动
接下来,安装重启之后,如果任何一项出现之前"A disk read error occurred Press ctrl+alt+del to restart "错误提示,请将服务器送到服务器生产厂商保修,就不要在浪费时间了
1、安装IIS,重启
2、安装oracle数据库,重启
3、激活工具激活,安装vs2010,重启
4、水晶报表,重启
……
注释:
boot mode: legacy(传统BIOS引导模式) uefi(新式的BIOS引导模式)
好了,这次客户服务器被攻破,实在教训惨重,折腾了三天,服务器安全问题,一定要值得大家重视一下,引以为戒!