一般情况写 在入侵服务器后都会添加新的用户或者和设置后门程序.

如果大家在使用服务器的过程中发现,出现了不能删除的用且账号不能够正常删除提示无法在内置账号进行此操作，

如果管理员遇到这样的情况的话就需要注意了你的服务器可能被入侵了。

一般 都将这种的添加账号的手段称为”不死账户”

首先我们来了解建立不死账户的方法，

1. 其将guest用户放到administratorss组中，当管理administrator登录后删除administratorss组中的guest账户，保存时提示“无法在内置账户上运行此操作”

(系统自带的账户是不能删除的只能禁用 就是利用了guest不能删除的原理)

解决方法：把它隶属管理员组的属性去掉，禁用账户，这样就可以了

2.再另外一台服务器也是2003系统的电脑找到HKEY_LOCAL_MACHINE\SAM\SAM，单击鼠标右键在弹出的子菜单中选择权限 (WIN 2000的操作系统运行regedt32，找到HKEY_LOCAL_MACHINE\SAM\SAM，选择 安全→权限)

然后把你现在所使用的用户添加进入，并选择 完全控制，再刷新一下就可以看到SAM下面的项了。然后到guest账号对应的000001F5的项，鼠标右键导出并保存该文件，名字随意。

然后把保持的文件复制到被 入侵的的机器上，然后双击导入到注册表。

(然后觉得麻烦也可以，把下面的值直接复制过去保存也可以)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

Windows RegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,ff,ff,ff,7f,00,00,00,00,00,00,00,00,\

f5,01,00,00,01,02,00,00,15,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,b1,d4,61,f5

"V"=hex:00,00,00,00,b0,00,00,00,02,00,01,00,b0,00,00,00,0a,00,00,00,00,00,00,\

00,bc,00,00,00,00,00,00,00,00,00,00,00,bc,00,00,00,22,00,00,00,00,00,00,00,\

e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,\

00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,\

00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,\

00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,\

08,00,00,00,01,00,00,00,e8,00,00,00,04,00,00,00,00,00,00,00,ec,00,00,00,04,\

00,00,00,00,00,00,00,f0,00,00,00,04,00,00,00,00,00,00,00,f4,00,00,00,04,00,\

00,00,00,00,00,00,01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,44,00,00,\

00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\

00,00,00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\

00,4c,00,03,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\

00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\

00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\

01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,\

00,00,00,20,02,00,00,47,00,75,00,65,00,73,00,74,00,00,00,9b,4f,65,67,be,5b,\

bf,8b,ee,95,a1,8b,97,7b,3a,67,16,62,bf,8b,ee,95,df,57,84,76,85,51,6e,7f,10,\

5e,37,62,97,7b,01,02,00,00,07,00,00,00,01,00,01,00,01,00,01,00,01,00,01,00,\

01,00,01,00

现在即可打开账户管理，从administrators组中即可删除了，删除用户时提示无法在内置账户上运行此操作》(https://www.unjs.com)。

以上方法解决的可行的，关于第一种方法禁用guest，可是禁用还可能会被 重新开启，还有就是guest账号老赖在administrators组里很碍眼。

还有一种就是把guest账号从注册表里删除，不过guest账号再特殊的时候还是有它的用途的，不建议删除。而且这种种了木马的你直接从注册表里删除的话，你再重新打开我的电脑管理里的账户管理，会每次弹出安全映射之类的报错。

所以再对注册表操作之前一定要备份好相应的项，以防万一时恢复注册表。

安全措施：

1.guest账号禁用。

2.guest账号和administrator账号重命名为自定义名字。

3.给administrator账号重设一个复杂的密码

4.检查系统漏洞并更新补丁。