一次WinRoute后門攻防實況
我是通過Windows 2000和winroute的代理方式上網。這兩天,代理服務器總是出現一些怪現象,運行程序好像很緩慢,而且還會自動重啟。難道是中了病毒?還是中了木馬?不管怎么樣,先去看看再說吧。
來到機房,先把網線拔去。重啟后,運行殺毒軟件,殺了一遍,并沒有發現病毒。隨后插上網線,打開IE瀏覽器,這時奇怪的事情發生了,怎么地址欄里有一些莫名其妙的網址?難道有人用過這臺電腦?我覺得事態嚴重了,可能中了木馬。
我起身去倒了杯水,準備一場大戰。當我回來的時候,瀏覽器居然自動打開了 “夢幻西游”的網站,正在下載客戶端(還新裝了一個下載軟件),它居然想用我的代理服務器來掛機打網絡游戲!
既然知道了原因,我想總可以解決的。所以也并不著急。出于報復心,我就先讓他下載。過了一會兒,當下載到90%的時候,我點了取消。然后又把網絡斷了,打開了木馬克星,一掃描。發現被安裝了Remote administrator。把木馬殺掉后,我又通過搜索文件的方法將這一個星期內安裝的軟件全部刪除。但這樣還是不能解決問題啊,關鍵是要找出被攻擊的漏洞。
因為這臺電腦只是用來做代理服務,winroute 就開放了SMTP,POP3 和DNS服務。難道是Windows 2000的設置上出了問題?根據一些安全設置的資料,我禁用了很多不必要的服務。打上最新的補丁,將Guest賬戶禁用,將管理員賬戶修改密碼,并改了名,將磁盤的讀取權限也做了設置,還做了一些本地安全策略。這個就不多講了,大家可以去查閱資料。經過一陣忙活,認為這樣總可以高枕無憂了。開啟代理服務,讓它繼續工作。
但好景不長,一個星期六的下午,我來到機房查看設備。當我打開代理服務器的顯示器的時候,讓我絕望的一幕出現了。居然又有人在代理服務器上下載夢幻西游!原來前幾天的平靜是入侵者不想讓我發現,實際上問題并沒有解決。他認為星期六沒人了,可以為所欲為,看來他的目的就是想利用我的電腦掛機。
我仿佛看到了黑客在網絡的那端恥笑著我。到底哪里出問題了呢?補丁剛打過,應該沒什么漏洞,入侵者到底是利用哪個端口進來的呢?轉到DOS目錄下,輸入Netstat -a 查看了一下端口,除了正常的幾個,發現有一個3129端口被人在使用。
我只記得winroute 里的代理用到了3128端口,難道這個3129端口也和winroute 有關?查看了一下資料,發現木馬Master Paradise開放3129端口。而且這臺電腦一般就運行winroute 服務,想到這里馬上打開winroute 控制界面,在里面仔細搜索了一番,果然發現在“設置→高級”中有一項 “Remote Administration”,它默認就允許遠程控制,而默認開放的端口恰好是3129。
原來是winroute 留下的后門。因為很多資料對winroute 的設置有詳細的介紹,但遠程控制控制臺的功能講得比較少,所以大家也都不是很在意這個地方。但它確實可以被一些木馬所利用,而且危害非常大。在這里想提醒各位使用winroute的朋友,最好把這一功能去掉,以絕后患。病因終于找到了,我平時也不怎么用遠程控制,就將這一選項去掉。然后在像剛才那樣做了一番設置,終于把入侵者的這扇門堵上了。
【編輯推薦】
