一次解黑经历

引言：服务器被黑客入侵，是一般网管员都会碰到的事，一旦当黑客入侵了你的服务器后，如果重装或还原系统，虽然情况变得相对简单，但不能更好了解黑客入侵的目的和方法，当然也不能解决预防再次入侵，发现问题是为了解决问题。

基本配置

本案例机器配置为DELL R720 服务器，安装系统为Windows 2008 R2 并做了read，作为Web服务器使用。单位内安装有山石SG 6000防火墙和网路岗网上行为管理软件。单位大约有300个信息终端，内部采用千兆纤传输，百兆接入到桌面，网络出口为电信10M专线接入。

故障发现

前一段时间早上到单位后发现访问服务器网络速度很慢，能连上服务器，但打开很慢，访问外网时也变得很慢。经检查发现在防火墙管理界面上显示服务器占用流量特别大，占40%，从网路岗上也能发现每秒发数据包和收发数据都超出异常。同时经进一步确定，想远程登录服务器，结果发现管理帐号已不存在。到机房打开服务器登录界面，发现Administrator的帐户已改成了Admin$，可以确定被黑客攻击了。同时发现将服务器网线拔掉后，网络就一切正常。由此确定该服务器已被黑客入侵，并修改了管理员帐户和密码。黑客攻击后，获得了最高管理员的权限，一般有三种情况，一是仍然用你原来的管理员帐号（如Administrator）但密码修改了。二是黑客自已建立一个管理员帐户，将你的原来管理员帐号禁用（不修改帐户和密码），但没有删除。三是黑客自己建立一个新的管理员帐户，将你原来的管理员帐户直接删除掉。根据本机的情况是黑客没有破坏系统，可能只是禁用了原来的管理员帐户，黑客新建了一个服务器登录帐号和密码。

追寻破解

一方面为了想了解黑客到底用了什么工具，怎样进入，在系统中植入了什么黑客程序等，所以想不重装系统而找回原来的帐号和密码。因为如果重装系统，那黑客入侵的资料也将全部毁坏，找不到入侵证据，而且重装系统也是一件很麻烦的事，除了需要安装Windows 2008系统外，还需要重新安装SQL数据库之类的应用程序，并需要恢复备份的数据等，所以第一步要做的是如何还原已经被黑客修改的帐号和密码。通过网上查找分析，本人采取了如下措施。

首先制作一个PE系统U盘，用U盘启动。当然不同品牌的服务器进入BIOS修改为U盘启动的方式是不一样的，而且也比较复杂，这个可以咨询服务器产品售后技术服务。本人也是通过咨询得到解决。完成修改为U盘启动后，具体操作如下。

1.进入PE。

2.打开原系统盘，找到文件：Windowssystem32osk.exe，重命名 osk.exe（如改为osk11.exe）文件。

3.找 到Windowssystem32cmd.exe文件，并重命名cmd.exe文件，改为osk.exe

4.重启。

5.开机启动完毕，点击左下角的“轻松访问”按钮，在弹出对话框中勾选“不使用键盘键入，界面自动弹出DOS窗口，在CMD命令提示符中输入如下：net user administrator 87654321/add，此命令是将用户名改为Administrator，密码改为87654321。输入net localgroupadministra administrators /add，此命令是将用户添加到管理组。如果提示Administrator帐户已存在，则说明黑客只是把你原来的管理帐户禁用了，你可以先修改黑客管理密码，然后进入系统后将原管理帐户启用，然后用原管理帐户重新登录后，将黑客帐户删除掉。

6.重新按自己设定的帐户密码登录进入系统，帐户恢复成功。

在帐户密码恢复成功后，进入系统发现桌面上有几个文件和文件夹，这些就是黑客留下的证据。所以本服务器估计是黑客利用开着的3389远程桌端口漏洞进行入侵的。

本服务器有几点是比较明确的，一是服务器或网站的管理帐号是默认帐户（Administrator），密码设置是符合要求的，都是比较复杂的，有大小写英文字母、数字、特殊字符等，二是数据库不是Access而是采用SQL 2008，而且采取了防注入功能。因考虑到平时自己经常用远程桌面管理服务器，没有更改和关闭该端口。由此也基本确定本次黑客入侵的原因，估计是黑客通过扫描工具扫描开放3389的电脑，然后再启动远程桌面连接登录并修改管理员帐户和密码。

亡羊补牢

虽然已经知道黑客入侵的方法途径，但如果不睹住漏洞，还会有第二次、第三次的入侵。所以亡羊补牢未为晚。具体预防方法有：一是修改管理员帐户，不用默认的Administrator，二是修改远程桌面端口3389。这里同时附上服务器远程桌面3389端口修改方法和修改后的登录方式。

1.开启远程桌面

具体步骤省略。

2.如开启不成功

可以打开服务servers.msc检查Terminal Services服务是否开启，并且不要忘记检查Windows自带防火墙设置。

3.修改远程桌面连接端口

Windows远程桌面默认需要用到的端口是tcp3389。如果修改端口，打开“开始”—“运行”—“输入”regedit进入注册表 然后找到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

ServerWds dpwdTds cp下的PortNamber

将它的值（3389）改为你想要的端口就可以了(如3456)。 继续修改端口配置，

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

Server WinStations RDP-Tcp，将 PortNumber的值（3389）改为十进制的3456。这样，远程桌面端口应修改完成，这时如果直接在客户端输入IP或计算机名就没办法访问了，要访问必需输入IP或计算机名加上端口，而且必须重新启动电脑才能生效。

4.如果用户计算机的防火墙是关闭的，那么现在就可以在另外一台电脑上通过远程桌面连接电脑了，但是通常为了安全，都会保留防火墙的开启状态。因此还需要修改防火墙的入站规则。进入 Windows“开始”，单击右侧“控制面板”，右上角查看方式选择为“小图标”，单击下面的“Windows 防火墙”，此时防火墙处于开启状态。选择右侧“高级设置”-“入站规则”，将滚动条到底，即可看见名称为“远程桌面(TCP-In)”的入站规则，可以看见其默认端口还是“3389”，而没有我们刚改过的“3456”的规则。需要将“3389”改成“3456”，但是这里无法直接更改，需要到注册表进行更改。同样通过regedit命令，进入注册表编辑器，并找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules项， 将RemoteDesktop-In-TCP的值中包含3389的数据改成3456。再进 入HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules，将RemoteDesktop-In-TCP的值中包含3389的数据改成为3456。现在再进入防火墙的入站规则（注意：需要把之前的窗口关闭，重新进入控制面板，进入防火墙，并进入入站规则）或点击刚才入站规则窗口的菜单“操作”-“刷新”，可以看见“远程桌面(TCP-In)”的入站规则的端口号已经变成3456了。

修改默认管理员帐户Administrator，这个比较简单，在这里不再讲述，至此，针对远程桌面登录3389端口和默认帐户的修改完成，能有效防止黑客的再次入侵。

几点体会

网络管理是一个系统工程，通过这次黑客入侵的案例，更加觉得日常的检查和维护，特别是安全管理要求十分必要，我这次解黑案例处理中，本人也有以下体会。

1.定期进行安全体检，检查日志文件有否异常，如陌生帐户登录。检查比对服务器文件内容，是否发现有明显木马或病毒程序的植入。

2.做好服务器数据备份，一是服务器系统备份，这样一旦发现黑客入侵，当无法通过登录时，可以快速的恢复系统，二是数据库备份，服务器数据信息是一个网站的核心。

3.作为网络管理，如果真的被黑客入侵了，查找和解决问题的最便捷办法是充分应用网络资源，可以到网上或论坛搜集一些相关的信息，也许能找到解决办法，同时还可以分享自己的经验技巧，共同确保网络安全。