实战分析 一次WinRoute后门攻防
2006-11-06 20:04:30 来源:WEB开发网学校通过Windows 2000和WinRoute 的代理方式上网。这两天,代理服务器总是出现一些怪现象,运行程序好像很缓慢,而且还会自动重启。难道是中了病毒?还是中了木马?不管怎么样,先去看看再说吧。
来到机房,先把网线拔去。重启后,运行杀毒软件,杀了一遍,并没有发现病毒。随后插上网线,打开IE浏览器,这时奇怪的事情发生了,怎么地址栏里有一些莫名其妙的网址?难道有人用过这台电脑?我觉得事态严重了,可能中了木马。
我起身去倒了杯水,准备一场大战。当我回来的时候,浏览器居然自动打开了 “梦幻西游”的网站,正在下载客户端(还新装了一个下载软件),它居然想用我的代理服务器来挂机打网络游戏!
既然知道了原因,我想总可以解决的。所以也并不着急。出于报复心,我就先让他下载。过了一会儿,当下载到90%的时候,我点了取消。然后又把网络断了,打开了木马克星,一扫描。发现被安装了Remote administrator。把木马杀掉后,我又通过搜索文件的方法将这一个星期内安装的软件全部删除。但这样还是不能解决问题啊,关键是要找出被攻击的漏洞。
因为这台电脑只是用来做代理服务,WinRoute 就开放了SMTP,POP3 和DNS服务。难道是Windows 2000的设置上出了问题?根据一些安全设置的资料,我禁用了很多不必要的服务。打上最新的补丁,将Guest账户禁用,将管理员账户修改密码,并改了名,将磁盘的读取权限也做了设置,还做了一些本地安全策略。这个就不多讲了,大家可以去查阅资料。经过一阵忙活,认为这样总可以高枕无忧了。开启代理服务,让它继续工作。
但好景不长,一个星期六的下午,我来到机房查看设备。当我打开代理服务器的显示器的时候,让我绝望的一幕出现了。居然又有人在代理服务器上下载梦幻西游!原来前几天的平静是入侵者不想让我发现,实际上问题并没有解决。他认为星期六没人了,可以为所欲为,看来他的目的就是想利用我的电脑挂机。
我仿佛看到了黑客在网络的那端耻笑着我。到底哪里出问题了呢?补丁刚打过,应该没什么漏洞,入侵者到底是利用哪个端口进来的呢?转到DOS目录下,输入Netstat -a 查看了一下端口,除了正常的几个,发现有一个3129端口被人在使用。
我只记得WinRoute 里的代理用到了3128端口,难道这个3129端口也和WinRoute 有关?查看了一下资料,发现木马Master Paradise开放3129端口。而且这台电脑一般就运行WinRoute 服务,想到这里马上打开WinRoute 控制界面,在里面仔细搜索了一番,果然发现在“设置→高级”中有一项 “Remote Administration”,它默认就允许远程控制,而默认开放的端口恰好是3129。
原来是WinRoute 留下的后门。因为很多资料对WinRoute 的设置有详细的介绍,但远程控制控制台的功能讲得比较少,所以大家也都不是很在意这个地方。但它确实可以被一些木马所利用,而且危害非常大。在这里想提醒各位使用WinRoute的朋友,最好把这一功能去掉,以绝后患。病因终于找到了,我平时也不怎么用远程控制,就将这一选项去掉。然后在像刚才那样做了一番设置,终于把入侵者的这扇门堵上了。
更多精彩
赞助商链接