由于工作的特殊性,笔者负责管理机房的交换路由设备和几台重要的服务器。其中有两台服务器用做Web,分别安装了Windows 2000 Server和Windows 2003 Server操作系统,采用NTFS分区,同时使用TOMCAT和IIS对外提供Web服务。
入侵事件就发生在这台安装Windows 2000 Server操作系统的服务器上。笔者在检查服务器时突然发现机器的Guest用户被启用,奇怪!以前根本没有用过这个账号?打开Guest账号,发现这个账号已经在管理员组了。可以肯定机器被入侵了,有人在利用这个账号。
入侵处理
于是,笔者毫不犹豫地把Guest用户从管理员组脱离,然后停止Guest账号,值得庆幸的是,超级管理员的密码还没有被修改,暂时松了一口气之后,开始检查服务器。
笔者首先把网卡全部禁用,截断与外网的连接。打开IIS,网页正常,没有任何改动,后台My SQL数据库也正常。粗略地查看了一下硬盘上的文件,并没有发现多余的文件。不过,查看到系统日志时,笔者吓了一跳,只剩下近两天的日志记录了,打开几个报警的记录看了一下,都是“找不到××文件,无法查杀”,也没有和Guest账号相关的记录。笔者突然想到,既然是Guest用户被启用,那么在Documents and Settings目录下应当有它的文件夹。仔细查看Guest账号下的文件,看到很多文本文件,名字起得有点奇怪,都是诸如怪物说话、盛大最新地图、法师召唤怪物等,这些都是网络游戏里常用的名字,难道有人在用这台服务器开网络游戏?
如果运行网络游戏应当有数据库的支持,所以一定安装了数据库,笔者打开“添加/删除程序”,果然里面有安装的数据库,笔者立刻把它删除了。网络游戏应当有服务端的支持,如果入侵者在远程运行服务端,在本服务器上一定安装了支持远程登录的软件或者开启Windows 2000 Server的终端服务,看到“添加/删除程序”里再没有多余的软件,所以笔者判定入侵者一定打开了终端服务,打开“管理工具”,列表里显示着和终端服务相关三个选项。单击“终端服务”,有两个用户使用“终端服务”,一个是本地用户,另一个则是Guest账号,显示此用户“已断开”,同时看到进程里还有Guest账号开的好多进程记录。既然终端服务都被别人利用了,看来它不可靠,先把它删除了再说。
下面该做什么了呢?把禁用的网卡打开吗?不行,服务器里应当还有网络游戏的服务端程序。笔者刚才看了硬盘上的文件,没有可疑的呀?再仔细看看,重新打D盘后,下边显示有一个隐藏的文件夹,让系统显示所有文件,发现这个隐藏的文件夹还真不小呢,有几百兆。打开看看,都是与传奇服务端相关的应用程序。把它彻底删除后,想到那个启用的Guest账号在Documents and Settings目录下创建的Guest目录也应当彻底删除。
删除这些以后,还要再做什么呢,打补丁吗?上星期刚给系统升过级,应当装一个软件防火墙了。这台服务器上仅安装了杀毒软件,没有防火墙,好不容易找到一个试用版的天网防火墙装上,仅打开了网站对外服务所用的80端口。
仔细想想,现在该没有什么问题了吧。于是笔者启用网卡,并开启Sniffer,时刻查看经过网卡的数据包。半小时过后,没有异常的数据包流过。渐渐地放心下来。
反思
为什么入侵者没有修改服务器超级管理员的密码?为什么入侵者没有破坏网站和网站的数据库?因为他想在管理员不知道情况下“借用”一下服务器,在本来提供Web服务的机器上加上一个网络游戏服务,只要他做得足够隐蔽,再加上机器配置较好,基本上可以达到互不影响。
还有一个问题,入侵者是怎么进入服务器的呢?而且能在不知不觉的情况下启用Guest账号,并且把终端服务也打开?很显然,他知道了服务器的管理员密码。想到此,笔者马上把原来用于标识本单位名称的由六位字母组成的管理员密码修改成了十四位带有数字、大小写字母和特殊字符的复杂密码。
笔者又想到这次入侵很像黑客入侵里的与3389端口相关的入侵,于是在网上找到这方面的文章,研究一下:与3389端口相关的入侵一般是通过密码猜测、端口扫描、Windows 2000攻击器和流光等黑客工具,在得到服务器超级管理员密码的情况下,轻松安装和开启终端服务,并可以建立显示被禁用的实际上具有管理员权限的后门账号。所以,笔者开始担心系统内还有入侵者留下的后门程序,查找一下socks、Win2kPass2、psu.exe、HDoor.rar等常见入侵工具,仅在winntsystem32目录下找到一个psu.exe(用指定进程的权限打开指定的程序)文件,把它删除,其它的再也没找到,于是放弃查找,先运行一段时间再说。
两个星期过后,该服务器一直运行正常,这期间笔者把超级管理员的密码修改过3次。一个月后,此服务器还是运行正常,基本可以判定此次入侵成功消除完毕。
