我们是一个大学校园,有一堆(100 台)计算机散布在实验室和员工使用之间。我们最近开始在某些桌面上收到未激活 Windows 的通知,并检查我们的批量许可证,看起来这些桌面可能是使用现在已完全使用的 MAK 密钥进行映像的,但我们对此不是 100% 确定. 我确实看到我们的一些服务器通过运行 slmgr.vbs /dlv 命令设置为 KMS 服务器,但我想知道问题是否在于这些服务器上使用的密钥与现在的完整密钥相关联。我们的批量许可帐户上确实有几个其他 KMS 密钥,它们有 1000 个可用许可证,但是如何将 KMS 服务器上的许可证更改为具有可用许可证的这些密钥之一?这个问题甚至有意义还是我离题了?
感谢您的任何意见!
似乎有什么东西侵入了网络服务器,或者我们正在运行某种半恶意代码,不断向我们的网站注入代码。它似乎只影响几个 coldfusion 和 html 文件。我们运行了 malwarebytes、spybot 和 AVG 防病毒软件,并删除了它们找到的所有条目,尽管数量不多。我正在研究和安装一些入侵检测软件(如 Snort 或 OSSEC),看看这是否能帮助我找到罪魁祸首,但我想知道是否有人见过这样的事情或知道恶意代码可能在哪里隐藏。
它似乎注入了以下代码:
<iframe scrolling="no" frameborder="0" src="http://www.collegefun4u.com/" width="0" height="0"></iframe>
每晚在完全随机的时间放入几个文件。
这是在运行 Coldfusion MX7 的 Windows 2003 服务器上。当这些文件被更改时,日志/事件查看器中不会出现任何内容。