|
|
|
<div class="subtable altbg2 t_msg" style="WIDTH: auto; HEIGHT: auto"><br /><br />最近我拿描工具[s.exe,这个扫描工具的速度我认为是非常快的],扫描了开了3389的IP,结果太另我惊奇了,开了3389的集子居然有100多台(时间是晚上1点多),这个还不算什么,我就去连接远程桌面了,[对方是WindowsXP的系统]自然是要用户名和密码了,我就拿[Administrator,密码为空]居然让我进去了,而且[Administrator是第一次登陆,没有个人设置的]我就去看看他有哪些用户,Guest自然是禁用的了,只有两个管理员号码[Administrator和new],我没动它,管理员和我一样,在下载东西,我加了他QQ,传了个Radmin,搞定之后,我便去看看其他的3389机器了!<br />我连接第二个扫描出来的3389IP也是WindowsXP的系统,还是老路用[Administrator,密码空]去连的时候,提示[new]在线,我就有点奇怪了,他们两个人的用户怎么是一样的啊,也没怎么在意,这个IP暂时放一边,换IP去连。<br />IP在连,我的心也在凉!我连了186个IP,发现了一个特点:都开放了3389端口,都有Administrator和new这个用户,而且密码都为空。这意味着什么呢!<br />还有一台电脑我进去了,他是刚装的系统和驱动,什么都没设置,人不在,我看了他可能把硬盘全格式化了,里面都没文件。<br />现在我就能确定一件事情啦:他们安装完系统之后,就开了3389,而且建立了一个用户[new,密码空]。<br />怎么可以这样实现呢,据我初步估计,他们一定是在网上下载了GHOST版系统,很可能是,别人在自己的系统里面做了后门,然后做成了镜像,给你们下载!当你们安装了之后。。。。。。。<br /><br /><br />解决方案:<br /><br />1.系统属性——远程——把“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”复选框前面的勾去掉!<br />2.开始——控制面板——管理工具——服务,“Terminal Services”(允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务 - 停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机,请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。)括号里的是关于这个服务的描述。禁用了吧!<br />3.开始——控制面板——管理工具——本地安全策略——本地策略——用户权限分配——通过终端服务允许登陆,你把“Administrators”和“Remote Desktop Users”删除。<br />4.把用户[new]、用户[Guest]和用户[Administrator]重命名,并且设置一个强密码(推荐:字母+数字+字符,的组合)!<br />5.控制面板——Windows防火墙——例外——把“远程桌面”前的复选框的勾去掉!<br />6.从IP策略里面关闭木马和病毒默认开放的端口。<br />7.安装第三方防火墙!<br />8.多去看看系统日志(开始——控制面板——管理工具——事件查看器)<br />9.平时多用netstat -na这个命令,去看看有没有开放陌生的端口(运行cmd,在命令提示符下输入netstat -na),也许。。。。<br />10.养成良好的上网习惯!</div> |
|
|Archiver|手机版|小黑屋|腾飞在线
( 冀ICP备05002530号 )
发表于 2007-1-9 11:56:43