上一篇：让杀毒软件与网管步调一致

实战分析一次WinRoute后门攻防

学校通过windows 2000和winroute 的代理方式上网。这两天，代理服务器总是出现一些怪现象，运行程序好像很缓慢，而且还会自动重启。难道是中了病毒？还是中了木马？不管怎么样，先去看看再说吧。　来到机房，先把网线拔去。重启后，运行杀毒软件，杀了一遍，并没有发现病毒。随后插上网线，打开ie浏览器，这时奇怪的事情发生了，怎么地址栏里有一些莫名其妙的网址？难道有人用过这台电脑？我觉得事态严重了，可能中了木马。

　　我起身去倒了杯水，准备一场大战。当我回来的时候，浏览器居然自动打开了 “梦幻西游”的网站，正在下载客户端（还新装了一个下载软件），它居然想用我的代理服务器来挂机打网络游戏！

　　既然知道了原因，我想总可以解决的。所以也并不着急。出于报复心，我就先让他下载。过了一会儿，当下载到90%的时候，我点了取消。然后又把网络断了，打开了木马克星，一扫描。发现被安装了remote administrator。把木马杀掉后，我又通过搜索文件的方法将这一个星期内安装的软件全部删除。但这样还是不能解决问题啊，关键是要找出被攻击的漏洞。

　　因为这台电脑只是用来做代理服务，winroute 就开放了smtp，pop3 和dns服务。难道是windows 2000的设置上出了问题？根据一些安全设置的资料，我禁用了很多不必要的服务。打上最新的补丁，将guest账户禁用，将管理员账户修改密码，并改了名，将磁盘的读取权限也做了设置，还做了一些本地安全策略。这个就不多讲了，大家可以去查阅资料。经过一阵忙活，认为这样总可以高枕无忧了。开启代理服务，让它继续工作。

　　但好景不长，一个星期六的下午，我来到机房查看设备。当我打开代理服务器的显示器的时候，让我绝望的一幕出现了。居然又有人在代理服务器上下载梦幻西游！原来前几天的平静是入侵者不想让我发现，实际上问题并没有解决。他认为星期六没人了，可以为所欲为，看来他的目的就是想利用我的电脑挂机。

　　我仿佛看到了黑客在网络的那端耻笑着我。到底哪里出问题了呢？补丁刚打过，应该没什么漏洞，入侵者到底是利用哪个端口进来的呢？转到dos目录下，输入netstat -a 查看了一下端口，除了正常的几个，发现有一个3129端口被人在使用。

　　我只记得winroute 里的代理用到了3128端口，难道这个3129端口也和winroute 有关？查看了一下资料，发现木马master paradise开放3129端口。而且这台电脑一般就运行winroute 服务，想到这里马上打开winroute 控制界面，在里面仔细搜索了一番，果然发现在“设置→高级”中有一项 “remote administration”，它默认就允许远程控制，而默认开放的端口恰好是3129。

　　原来是winroute 留下的后门。因为很多资料对winroute 的设置有详细的介绍，但远程控制控制台的功能讲得比较少，所以大家也都不是很在意这个地方。但它确实可以被一些木马所利用，而且危害非常大。在这里想提醒各位使用winroute的朋友，最好把这一功能去掉，以绝后患。病因终于找到了，我平时也不怎么用远程控制，就将这一选项去掉。然后在像刚才那样做了一番设置，终于把入侵者的这扇门堵上了。

（）

下一篇：网络工程师精华

↓相关文章：