定位入侵校園網服務器的黑客

校園網的服務器被黑客入侵，這是每一個網管所最不愿意看到的事，而黑客的入侵與校園網的安全永遠是“矛”和“盾”的關系，再安全的校園網服務器也難免有漏洞。黑客的入侵具有極大的隱蔽性和不確定性，如果我們做網管的再疏于日常管理與維護，那么整個校園網將面臨更大的危險，甚至最終垮掉。因此，必須及時地定位黑客入侵并作出相應的漏洞修補等措施，才能做到亡羊補牢，將損失減到最小。

查看黑客的IP及開設的端口

首先要查看的就是系統正在使用的端口列表，最簡單也是最直接的方法就是使用Windows 2000自帶的“Netstat -a”命令來查看。檢查一下自己都打開了些什么端口，是否有可疑的地方，最好能夠有一個查看端口進程的工具，能夠同時查看端口的進程。目前，大多數的木馬或者后門程序都會開一個自己的端口單獨使用，例如，冰河就會對應7626端口。為了更清楚地看到本機的IP端口的連接狀態，最好是在Netstat命令的后面再加一個n參數，在CMD窗口中運行“Netstat -an”，將列出當前系統的IP端口連接狀態列表。如果在1024端口以上的不連續端口中出現監聽（Listening）或連接（Established）狀態，那么，最好要檢測一下自己都開了哪些服務，其中很可能是黑客在搗鬼。同時，我們也可以使用追捕之類的專門工具來獲得黑客的進一步信息，比如，查找出這個IP及與該IP地址相關的更多信息。

檢查系統日志和服務日志

網管每天必須要檢查服務器的各種日志，不僅包括系統日志，而且也要檢查服務日志(FTP、IIS等)。雖然工作量較大但一定要細致地進行，而且要求網管具備一定的經驗，檢查時要著重注意以下項目：①是否出現日志記錄的斷裂；②是否有可疑的賬戶登錄；③是否在不該出現的時間段內發生了異常事件記錄。

特別要注意的是，各種服務的日志記錄是發現黑客的最有效途徑，像IIS日志就能記錄黑客入侵掃描80端口的全部過程以及對方能夠利用的有用信息。對于大部分開啟WEB服務的校園網服務器來說，90%以上的黑客入侵都是從這里進入的。

多注意自己的進程列表

按Ctrl+Shift+Esc組合鍵打開“Windows任務管理器”，單擊“進程”標簽后，切記將下面的“顯示所有用戶的進程”選中，然后就在其中仔細地查看進程吧！當然，這需要網管非常熟悉Windows 2000的系統進程及自己正在運行的進程。特別要注意的是，木馬及后門程序的進程名一般都是極具迷惑性的。例如，Exp1orer.exe與正常的Explorer.exe相比只有數字“1”與英文小寫字母“l”的差別，其余的像數字“0”與字母“o”等都是渾水摸魚的伎倆。

小心留意用戶和用戶組管理

右擊桌面上“我的電腦”選擇“管理”，打開計算機管理窗口。在左側窗格中依次打開“系統工具”→“本地用戶和組”，其中的“用戶”和“組”就對應著服務器中的用戶和組的信息。仔細查看一下其中是否有可疑的用戶出現，一般來講，黑客總會在Administrators管理員組中做一些手腳，當然也不要大意Guests之類的普通賓客賬戶，因為有不少黑客經常會把Guest賬戶的權限提升至超級用戶，隱蔽性很強。