我是通过Windows 2000和winroute的代理方式上网。这两天,代理服务器总是出现一些怪现象,运行程序好像很缓慢,而且还会自动重启。难道是中了病毒?还是中了木马?不管怎么样,先去看看再说吧。
来到机房,先把网线拔去。重启后,运行杀毒软件,杀了一遍,并没有发现病毒。随后插上网线,打开IE浏览器,这时奇怪的事情发生了,怎么地址栏里有一些莫名其妙的网址?难道有人用过这台电脑?我觉得事态严重了,可能中了木马。
我起身去倒了杯水,准备一场大战。当我回来的时候,浏览器居然自动打开了 “梦幻西游”的网站,正在下载客户端(还新装了一个下载软件),它居然想用我的代理服务器来挂机打网络游戏!
既然知道了原因,我想总可以解决的。所以也并不着急。出于报复心,我就先让他下载。过了一会儿,当下载到90%的时候,我点了取消。然后又把网络断了,打开了木马克星,一扫描。发现被安装了Remote administrator。把木马杀掉后,我又通过搜索文件的方法将这一个星期内安装的软件全部删除。但这样还是不能解决问题啊,关键是要找出被攻击的漏洞。
因为这台电脑只是用来做代理服务,winroute 就开放了SMTP,POP3 和DNS服务。难道是Windows 2000的设置上出了问题?根据一些安全设置的资料,我禁用了很多不必要的服务。打上最新的补丁,将Guest账户禁用,将管理员账户修改密码,并改了名,将磁盘的读取权限也做了设置,还做了一些本地安全策略。这个就不多讲了,大家可以去查阅资料。经过一阵忙活,认为这样总可以高枕无忧了。开启代理服务,让它继续工作。
但好景不长,一个星期六的下午,我来到机房查看设备。当我打开代理服务器的显示器的时候,让我绝望的一幕出现了。居然又有人在代理服务器上下载梦幻西游!原来前几天的平静是入侵者不想让我发现,实际上问题并没有解决。他认为星期六没人了,可以为所欲为,看来他的目的就是想利用我的电脑挂机。
我仿佛看到了黑客在网络的那端耻笑着我。到底哪里出问题了呢?补丁刚打过,应该没什么漏洞,入侵者到底是利用哪个端口进来的呢?转到DOS目录下,输入Netstat -a 查看了一下端口,除了正常的几个,发现有一个3129端口被人在使用。
我只记得winroute 里的代理用到了3128端口,难道这个3129端口也和winroute 有关?查看了一下资料,发现木马Master Paradise开放3129端口。而且这台电脑一般就运行winroute 服务,想到这里马上打开winroute 控制界面,在里面仔细搜索了一番,果然发现在“设置→高级”中有一项 “Remote Administration”,它默认就允许远程控制,而默认开放的端口恰好是3129。
原来是winroute 留下的后门。因为很多资料对winroute 的设置有详细的介绍,但远程控制控制台的功能讲得比较少,所以大家也都不是很在意这个地方。但它确实可以被一些木马所利用,而且危害非常大。在这里想提醒各位使用winroute的朋友,最好把这一功能去掉,以绝后患。病因终于找到了,我平时也不怎么用远程控制,就将这一选项去掉。然后在像刚才那样做了一番设置,终于把入侵者的这扇门堵上了。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
《惊天魔盗团2》里有一个能黑一切电脑的芯片
入侵、监控、移动设备信息窃取、安保,这些关乎网络安全、信息安全元素的加入让魔盗团的力量玄乎其玄,“天眼”作为‘魔盗大本营’,代表的是正义的一方,但其凌驾于个人意愿的监控是否合理也有待商榷。
-
黑帽大会2011关注新的黑客技术:软件漏洞
预计本周将在内华达州举行的2011年黑帽安全大会的温度会达到100摄氏度,但真正的热度将集中在软件公司和负责确保其产品安全的人员上。究竟大会上都有哪些重点呢?
-
如何使用FreeBSD sysctl实用工具安全设置
FreeBSD的sysctl实用功能为访问系统设置提供了一个集中型简单工具,其丰富的设置中,存在一系列安全资源。对其进行了解,有助于系统管理员保护系统免受恶意软件的损害。
-
Radware应用安全防护解决方案
当前,针对数据中心所发起的攻击正在发生显著的变化。攻击者采用多种攻击技术、多种攻击形式和入侵途径发动攻击,且经常利用未知的漏洞,这给关键业务运营带来了严重威胁。