应急响应实战---是谁修改了我的密码？反正不是我

文章预览

前言： 此次应急响应为真实案例，客户反馈无法通过密码登录服务器，疑似服务器被入侵 0x01 如何找回密码？ 客户服务器为windows server2019，运维平台为PVE平台；实际上无论是windows系统或者是linux系统，只要磁盘没有加密的情况，都可以通过挂载live盘的模式加载外部系统对密码进行修改；linux修改密码只需要替换掉/etc/shadow 即可覆盖密码；而windows系统则更简单，只需要使用类似大白菜之类的系统工具即可清空系统密码，当然了，没人敢上去就在客户那瞎搞，所以首先当然是把镜像导出来，而pve导出系统镜像为qcow2格式，这个格式是没办法直接在vmare上直接操练的，所以需要借助工具转化一下 qemu-img convert -f qcow2 windows_server_2019.qcow2 -O vmdk windows_server_2019.vmdk 导出后，即可在vmare产品创建一个windows的虚拟机空壳，然后将vmdk磁盘挂载即可，具体过程请大家 ………………………………