一次解黑經(jīng)歷

引言：服務(wù)器被黑客入侵，是一般網(wǎng)管員都會碰到的事，一旦當(dāng)黑客入侵了你的服務(wù)器后，如果重裝或還原系統(tǒng)，雖然情況變得相對簡單，但不能更好了解黑客入侵的目的和方法，當(dāng)然也不能解決預(yù)防再次入侵，發(fā)現(xiàn)問題是為了解決問題。

基本配置

本案例機(jī)器配置為DELL R720 服務(wù)器，安裝系統(tǒng)為Windows 2008 R2 并做了read，作為Web服務(wù)器使用。單位內(nèi)安裝有山石SG 6000防火墻和網(wǎng)路崗網(wǎng)上行為管理軟件。單位大約有300個信息終端，內(nèi)部采用千兆纖傳輸，百兆接入到桌面，網(wǎng)絡(luò)出口為電信10M專線接入。

故障發(fā)現(xiàn)

前一段時(shí)間早上到單位后發(fā)現(xiàn)訪問服務(wù)器網(wǎng)絡(luò)速度很慢，能連上服務(wù)器，但打開很慢，訪問外網(wǎng)時(shí)也變得很慢。經(jīng)檢查發(fā)現(xiàn)在防火墻管理界面上顯示服務(wù)器占用流量特別大，占40%，從網(wǎng)路崗上也能發(fā)現(xiàn)每秒發(fā)數(shù)據(jù)包和收發(fā)數(shù)據(jù)都超出異常。同時(shí)經(jīng)進(jìn)一步確定，想遠(yuǎn)程登錄服務(wù)器，結(jié)果發(fā)現(xiàn)管理帳號已不存在。到機(jī)房打開服務(wù)器登錄界面，發(fā)現(xiàn)Administrator的帳戶已改成了Admin$，可以確定被黑客攻擊了。同時(shí)發(fā)現(xiàn)將服務(wù)器網(wǎng)線拔掉后，網(wǎng)絡(luò)就一切正常。由此確定該服務(wù)器已被黑客入侵，并修改了管理員帳戶和密碼。黑客攻擊后，獲得了最高管理員的權(quán)限，一般有三種情況，一是仍然用你原來的管理員帳號（如Administrator）但密碼修改了。二是黑客自已建立一個管理員帳戶，將你的原來管理員帳號禁用（不修改帳戶和密碼），但沒有刪除。三是黑客自己建立一個新的管理員帳戶，將你原來的管理員帳戶直接刪除掉。根據(jù)本機(jī)的情況是黑客沒有破壞系統(tǒng)，可能只是禁用了原來的管理員帳戶，黑客新建了一個服務(wù)器登錄帳號和密碼。

追尋破解

一方面為了想了解黑客到底用了什么工具，怎樣進(jìn)入，在系統(tǒng)中植入了什么黑客程序等，所以想不重裝系統(tǒng)而找回原來的帳號和密碼。因?yàn)槿绻匮b系統(tǒng)，那黑客入侵的資料也將全部毀壞，找不到入侵證據(jù)，而且重裝系統(tǒng)也是一件很麻煩的事，除了需要安裝Windows 2008系統(tǒng)外，還需要重新安裝SQL數(shù)據(jù)庫之類的應(yīng)用程序，并需要恢復(fù)備份的數(shù)據(jù)等，所以第一步要做的是如何還原已經(jīng)被黑客修改的帳號和密碼。通過網(wǎng)上查找分析，本人采取了如下措施。

首先制作一個PE系統(tǒng)U盤，用U盤啟動。當(dāng)然不同品牌的服務(wù)器進(jìn)入BIOS修改為U盤啟動的方式是不一樣的，而且也比較復(fù)雜，這個可以咨詢服務(wù)器產(chǎn)品售后技術(shù)服務(wù)。本人也是通過咨詢得到解決。完成修改為U盤啟動后，具體操作如下。

1.進(jìn)入PE。

2.打開原系統(tǒng)盤，找到文件：Windowssystem32osk.exe，重命名 osk.exe（如改為osk11.exe）文件。

3.找 到Windowssystem32cmd.exe文件，并重命名cmd.exe文件，改為osk.exe

4.重啟。

5.開機(jī)啟動完畢，點(diǎn)擊左下角的“輕松訪問”按鈕，在彈出對話框中勾選“不使用鍵盤鍵入，界面自動彈出DOS窗口，在CMD命令提示符中輸入如下：net user administrator 87654321/add，此命令是將用戶名改為Administrator，密碼改為87654321。輸入net localgroupadministra administrators /add，此命令是將用戶添加到管理組。如果提示Administrator帳戶已存在，則說明黑客只是把你原來的管理帳戶禁用了，你可以先修改黑客管理密碼，然后進(jìn)入系統(tǒng)后將原管理帳戶啟用，然后用原管理帳戶重新登錄后，將黑客帳戶刪除掉。

6.重新按自己設(shè)定的帳戶密碼登錄進(jìn)入系統(tǒng)，帳戶恢復(fù)成功。

在帳戶密碼恢復(fù)成功后，進(jìn)入系統(tǒng)發(fā)現(xiàn)桌面上有幾個文件和文件夾，這些就是黑客留下的證據(jù)。所以本服務(wù)器估計(jì)是黑客利用開著的3389遠(yuǎn)程桌端口漏洞進(jìn)行入侵的。

本服務(wù)器有幾點(diǎn)是比較明確的，一是服務(wù)器或網(wǎng)站的管理帳號是默認(rèn)帳戶（Administrator），密碼設(shè)置是符合要求的，都是比較復(fù)雜的，有大小寫英文字母、數(shù)字、特殊字符等，二是數(shù)據(jù)庫不是Access而是采用SQL 2008，而且采取了防注入功能。因考慮到平時(shí)自己經(jīng)常用遠(yuǎn)程桌面管理服務(wù)器，沒有更改和關(guān)閉該端口。由此也基本確定本次黑客入侵的原因，估計(jì)是黑客通過掃描工具掃描開放3389的電腦，然后再啟動遠(yuǎn)程桌面連接登錄并修改管理員帳戶和密碼。

亡羊補(bǔ)牢

雖然已經(jīng)知道黑客入侵的方法途徑，但如果不睹住漏洞，還會有第二次、第三次的入侵。所以亡羊補(bǔ)牢未為晚。具體預(yù)防方法有：一是修改管理員帳戶，不用默認(rèn)的Administrator，二是修改遠(yuǎn)程桌面端口3389。這里同時(shí)附上服務(wù)器遠(yuǎn)程桌面3389端口修改方法和修改后的登錄方式。

1.開啟遠(yuǎn)程桌面

具體步驟省略。

2.如開啟不成功

可以打開服務(wù)servers.msc檢查Terminal Services服務(wù)是否開啟，并且不要忘記檢查Windows自帶防火墻設(shè)置。

3.修改遠(yuǎn)程桌面連接端口

Windows遠(yuǎn)程桌面默認(rèn)需要用到的端口是tcp3389。如果修改端口，打開“開始”—“運(yùn)行”—“輸入”regedit進(jìn)入注冊表 然后找到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

ServerWds dpwdTds cp下的PortNamber

將它的值（3389）改為你想要的端口就可以了(如3456)。 繼續(xù)修改端口配置，

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

Server WinStations RDP-Tcp，將 PortNumber的值（3389）改為十進(jìn)制的3456。這樣，遠(yuǎn)程桌面端口應(yīng)修改完成，這時(shí)如果直接在客戶端輸入IP或計(jì)算機(jī)名就沒辦法訪問了，要訪問必需輸入IP或計(jì)算機(jī)名加上端口，而且必須重新啟動電腦才能生效。

4.如果用戶計(jì)算機(jī)的防火墻是關(guān)閉的，那么現(xiàn)在就可以在另外一臺電腦上通過遠(yuǎn)程桌面連接電腦了，但是通常為了安全，都會保留防火墻的開啟狀態(tài)。因此還需要修改防火墻的入站規(guī)則。進(jìn)入 Windows“開始”，單擊右側(cè)“控制面板”，右上角查看方式選擇為“小圖標(biāo)”，單擊下面的“Windows 防火墻”，此時(shí)防火墻處于開啟狀態(tài)。選擇右側(cè)“高級設(shè)置”-“入站規(guī)則”，將滾動條到底，即可看見名稱為“遠(yuǎn)程桌面(TCP-In)”的入站規(guī)則，可以看見其默認(rèn)端口還是“3389”，而沒有我們剛改過的“3456”的規(guī)則。需要將“3389”改成“3456”，但是這里無法直接更改，需要到注冊表進(jìn)行更改。同樣通過regedit命令，進(jìn)入注冊表編輯器，并找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules項(xiàng)， 將RemoteDesktop-In-TCP的值中包含3389的數(shù)據(jù)改成3456。再進(jìn) 入HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules，將RemoteDesktop-In-TCP的值中包含3389的數(shù)據(jù)改成為3456?，F(xiàn)在再進(jìn)入防火墻的入站規(guī)則（注意：需要把之前的窗口關(guān)閉，重新進(jìn)入控制面板，進(jìn)入防火墻，并進(jìn)入入站規(guī)則）或點(diǎn)擊剛才入站規(guī)則窗口的菜單“操作”-“刷新”，可以看見“遠(yuǎn)程桌面(TCP-In)”的入站規(guī)則的端口號已經(jīng)變成3456了。

修改默認(rèn)管理員帳戶Administrator，這個比較簡單，在這里不再講述，至此，針對遠(yuǎn)程桌面登錄3389端口和默認(rèn)帳戶的修改完成，能有效防止黑客的再次入侵。

幾點(diǎn)體會

網(wǎng)絡(luò)管理是一個系統(tǒng)工程，通過這次黑客入侵的案例，更加覺得日常的檢查和維護(hù)，特別是安全管理要求十分必要，我這次解黑案例處理中，本人也有以下體會。

1.定期進(jìn)行安全體檢，檢查日志文件有否異常，如陌生帳戶登錄。檢查比對服務(wù)器文件內(nèi)容，是否發(fā)現(xiàn)有明顯木馬或病毒程序的植入。

2.做好服務(wù)器數(shù)據(jù)備份，一是服務(wù)器系統(tǒng)備份，這樣一旦發(fā)現(xiàn)黑客入侵，當(dāng)無法通過登錄時(shí)，可以快速的恢復(fù)系統(tǒng)，二是數(shù)據(jù)庫備份，服務(wù)器數(shù)據(jù)信息是一個網(wǎng)站的核心。

3.作為網(wǎng)絡(luò)管理，如果真的被黑客入侵了，查找和解決問題的最便捷辦法是充分應(yīng)用網(wǎng)絡(luò)資源，可以到網(wǎng)上或論壇搜集一些相關(guān)的信息，也許能找到解決辦法，同時(shí)還可以分享自己的經(jīng)驗(yàn)技巧，共同確保網(wǎng)絡(luò)安全。