一次解黑經歷

引言：服務器被黑客入侵，是一般網管員都會碰到的事，一旦當黑客入侵了你的服務器后，如果重裝或還原系統，雖然情況變得相對簡單，但不能更好了解黑客入侵的目的和方法，當然也不能解決預防再次入侵，發現問題是為了解決問題。

基本配置

本案例機器配置為DELL R720 服務器，安裝系統為Windows 2008 R2 并做了read，作為Web服務器使用。單位內安裝有山石SG 6000防火墻和網路崗網上行為管理軟件。單位大約有300個信息終端，內部采用千兆纖傳輸，百兆接入到桌面，網絡出口為電信10M專線接入。

故障發現

前一段時間早上到單位后發現訪問服務器網絡速度很慢，能連上服務器，但打開很慢，訪問外網時也變得很慢。經檢查發現在防火墻管理界面上顯示服務器占用流量特別大，占40%，從網路崗上也能發現每秒發數據包和收發數據都超出異常。同時經進一步確定，想遠程登錄服務器，結果發現管理帳號已不存在。到機房打開服務器登錄界面，發現Administrator的帳戶已改成了Admin$，可以確定被黑客攻擊了。同時發現將服務器網線拔掉后，網絡就一切正常。由此確定該服務器已被黑客入侵，并修改了管理員帳戶和密碼。黑客攻擊后，獲得了最高管理員的權限，一般有三種情況，一是仍然用你原來的管理員帳號（如Administrator）但密碼修改了。二是黑客自已建立一個管理員帳戶，將你的原來管理員帳號禁用（不修改帳戶和密碼），但沒有刪除。三是黑客自己建立一個新的管理員帳戶，將你原來的管理員帳戶直接刪除掉。根據本機的情況是黑客沒有破壞系統，可能只是禁用了原來的管理員帳戶，黑客新建了一個服務器登錄帳號和密碼。

追尋破解

一方面為了想了解黑客到底用了什么工具，怎樣進入，在系統中植入了什么黑客程序等，所以想不重裝系統而找回原來的帳號和密碼。因為如果重裝系統，那黑客入侵的資料也將全部毀壞，找不到入侵證據，而且重裝系統也是一件很麻煩的事，除了需要安裝Windows 2008系統外，還需要重新安裝SQL數據庫之類的應用程序，并需要恢復備份的數據等，所以第一步要做的是如何還原已經被黑客修改的帳號和密碼。通過網上查找分析，本人采取了如下措施。

首先制作一個PE系統U盤，用U盤啟動。當然不同品牌的服務器進入BIOS修改為U盤啟動的方式是不一樣的，而且也比較復雜，這個可以咨詢服務器產品售后技術服務。本人也是通過咨詢得到解決。完成修改為U盤啟動后，具體操作如下。

1.進入PE。

2.打開原系統盤，找到文件：Windowssystem32osk.exe，重命名 osk.exe（如改為osk11.exe）文件。

3.找 到Windowssystem32cmd.exe文件，并重命名cmd.exe文件，改為osk.exe

4.重啟。

5.開機啟動完畢，點擊左下角的“輕松訪問”按鈕，在彈出對話框中勾選“不使用鍵盤鍵入，界面自動彈出DOS窗口，在CMD命令提示符中輸入如下：net user administrator 87654321/add，此命令是將用戶名改為Administrator，密碼改為87654321。輸入net localgroupadministra administrators /add，此命令是將用戶添加到管理組。如果提示Administrator帳戶已存在，則說明黑客只是把你原來的管理帳戶禁用了，你可以先修改黑客管理密碼，然后進入系統后將原管理帳戶啟用，然后用原管理帳戶重新登錄后，將黑客帳戶刪除掉。

6.重新按自己設定的帳戶密碼登錄進入系統，帳戶恢復成功。

在帳戶密碼恢復成功后，進入系統發現桌面上有幾個文件和文件夾，這些就是黑客留下的證據。所以本服務器估計是黑客利用開著的3389遠程桌端口漏洞進行入侵的。

本服務器有幾點是比較明確的，一是服務器或網站的管理帳號是默認帳戶（Administrator），密碼設置是符合要求的，都是比較復雜的，有大小寫英文字母、數字、特殊字符等，二是數據庫不是Access而是采用SQL 2008，而且采取了防注入功能。因考慮到平時自己經常用遠程桌面管理服務器，沒有更改和關閉該端口。由此也基本確定本次黑客入侵的原因，估計是黑客通過掃描工具掃描開放3389的電腦，然后再啟動遠程桌面連接登錄并修改管理員帳戶和密碼。

亡羊補牢

雖然已經知道黑客入侵的方法途徑，但如果不睹住漏洞，還會有第二次、第三次的入侵。所以亡羊補牢未為晚。具體預防方法有：一是修改管理員帳戶，不用默認的Administrator，二是修改遠程桌面端口3389。這里同時附上服務器遠程桌面3389端口修改方法和修改后的登錄方式。

1.開啟遠程桌面

具體步驟省略。

2.如開啟不成功

可以打開服務servers.msc檢查Terminal Services服務是否開啟，并且不要忘記檢查Windows自帶防火墻設置。

3.修改遠程桌面連接端口

Windows遠程桌面默認需要用到的端口是tcp3389。如果修改端口，打開“開始”—“運行”—“輸入”regedit進入注冊表 然后找到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

ServerWds dpwdTds cp下的PortNamber

將它的值（3389）改為你想要的端口就可以了(如3456)。 繼續修改端口配置，

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

Server WinStations RDP-Tcp，將 PortNumber的值（3389）改為十進制的3456。這樣，遠程桌面端口應修改完成，這時如果直接在客戶端輸入IP或計算機名就沒辦法訪問了，要訪問必需輸入IP或計算機名加上端口，而且必須重新啟動電腦才能生效。

4.如果用戶計算機的防火墻是關閉的，那么現在就可以在另外一臺電腦上通過遠程桌面連接電腦了，但是通常為了安全，都會保留防火墻的開啟狀態。因此還需要修改防火墻的入站規則。進入 Windows“開始”，單擊右側“控制面板”，右上角查看方式選擇為“小圖標”，單擊下面的“Windows 防火墻”，此時防火墻處于開啟狀態。選擇右側“高級設置”-“入站規則”，將滾動條到底，即可看見名稱為“遠程桌面(TCP-In)”的入站規則，可以看見其默認端口還是“3389”，而沒有我們剛改過的“3456”的規則。需要將“3389”改成“3456”，但是這里無法直接更改，需要到注冊表進行更改。同樣通過regedit命令，進入注冊表編輯器，并找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules項， 將RemoteDesktop-In-TCP的值中包含3389的數據改成3456。再進 入HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules，將RemoteDesktop-In-TCP的值中包含3389的數據改成為3456。現在再進入防火墻的入站規則（注意：需要把之前的窗口關閉，重新進入控制面板，進入防火墻，并進入入站規則）或點擊剛才入站規則窗口的菜單“操作”-“刷新”，可以看見“遠程桌面(TCP-In)”的入站規則的端口號已經變成3456了。

修改默認管理員帳戶Administrator，這個比較簡單，在這里不再講述，至此，針對遠程桌面登錄3389端口和默認帳戶的修改完成，能有效防止黑客的再次入侵。

幾點體會

網絡管理是一個系統工程，通過這次黑客入侵的案例，更加覺得日常的檢查和維護，特別是安全管理要求十分必要，我這次解黑案例處理中，本人也有以下體會。

1.定期進行安全體檢，檢查日志文件有否異常，如陌生帳戶登錄。檢查比對服務器文件內容，是否發現有明顯木馬或病毒程序的植入。

2.做好服務器數據備份，一是服務器系統備份，這樣一旦發現黑客入侵，當無法通過登錄時，可以快速的恢復系統，二是數據庫備份，服務器數據信息是一個網站的核心。

3.作為網絡管理，如果真的被黑客入侵了，查找和解決問題的最便捷辦法是充分應用網絡資源，可以到網上或論壇搜集一些相關的信息，也許能找到解決辦法，同時還可以分享自己的經驗技巧，共同確保網絡安全。