問(wèn)題現(xiàn)象

通過(guò)阿里云ECS控制臺(tái)、ECS API或者系統(tǒng)內(nèi)部修改密碼，重啟之后會(huì)自動(dòng)還原。

問(wèn)題原因

表示系統(tǒng)管理員administrator的密碼已經(jīng)破解或者系統(tǒng)中已經(jīng)被植入了木馬，黑客遠(yuǎn)程操作木馬，修改了administrator用戶的密碼。

例如Passwdrenew服務(wù)導(dǎo)致ECS Windows系統(tǒng)密碼重置無(wú)效（重啟后會(huì)自動(dòng)還原）

解決步驟

注：建議操作前創(chuàng)建快照備份。

查看系統(tǒng)服務(wù)是否存在異常的系統(tǒng)服務(wù)，例如：passwdrenew 名稱(chēng)的服務(wù)，將此服務(wù)禁用掉。具體操作步驟為：

 點(diǎn)擊【開(kāi)始】，選擇【管理工具】--【服務(wù)】，并在出現(xiàn)界面（如下圖）的右側(cè)禁用相應(yīng)服務(wù)

1. 查看是否有Passwdrenew服務(wù)：

    a.【開(kāi)始】→【運(yùn)行】→【services.msc】打開(kāi)服務(wù)管理器，查看是否有名為Passwdrenew的，啟動(dòng)類(lèi)型是"自動(dòng)"的服務(wù)；

    b. 記錄下"可執(zhí)行文件的路徑"中標(biāo)注的相關(guān)服務(wù)對(duì)應(yīng)的文件信息；

2. 停止和刪除相關(guān)服務(wù)：

    a.【開(kāi)始】→【運(yùn)行】→【cmd】打開(kāi)命令提示符；

    b. 使用如下指令停止Passwdrenew服務(wù)：

    sc stop Passwdrenew

3. 使用如下指令刪除Passwdrenew服務(wù)：

    sc delete Passwdrenew

4. 刪除相關(guān)的文件：

   刪除或重命名步驟1中記錄的相應(yīng)文件；

5. 再次進(jìn)行【重置密碼】測(cè)試。

另外，因?yàn)榉?wù)器通過(guò)是管理員密碼被破解或者已經(jīng)被入侵，所以需要做全面的服務(wù)器安全增強(qiáng)：

1.  開(kāi)啟系統(tǒng)盤(pán)、數(shù)據(jù)盤(pán)的自動(dòng)快照策略。

2.  定期使用Windows update更新系統(tǒng)補(bǔ)丁

3.  安裝“企業(yè)版”的殺毒軟件，根據(jù)企業(yè)和個(gè)人使用習(xí)慣來(lái)選擇殺毒軟件,做全盤(pán)查殺。

4.  開(kāi)啟云盾 ，如果服務(wù)器安裝Web服務(wù)，請(qǐng)相應(yīng)購(gòu)買(mǎi)云盾產(chǎn)品進(jìn)行安全防護(hù)。

5.  開(kāi)啟防火墻，只保留需要的端口，其他端口都關(guān)閉

6.  所設(shè)置復(fù)雜的管理員賬戶密碼，大小寫(xiě)，特殊字符，數(shù)字組合使用，并且長(zhǎng)度至少為8位；

阿里云代理商 阿里云鉑金代理