實戰分析 一次WinRoute後門攻防(轉)

BSDLite發表於2007-08-16
實戰分析 一次WinRoute後門攻防(轉)[@more@]  學校透過Windows 2000和WinRoute 的代理方式上網。這兩天,代理伺服器總是出現一些怪現象,執行程式好像很緩慢,而且還會自動重啟。難道是中了病毒?還是中了木馬?不管怎麼樣,先去看看再說吧。

  來到機房,先把網線拔去。重啟後,執行防毒軟體,殺了一遍,並沒有發現病毒。隨後插上網線,開啟IE瀏覽器,這時奇怪的事情發生了,怎麼位址列裡有一些莫名其妙的網址?難道有人用過這臺電腦?我覺得事態嚴重了,可能中了木馬。

  我起身去倒了杯水,準備一場大戰。當我回來的時候,瀏覽器居然自動開啟了 "夢幻西遊"的網站,正在下載客戶端(還新裝了一個下載軟體),它居然想用我的代理伺服器來掛機打網路遊戲!

  既然知道了原因,我想總可以解決的。所以也並不著急。出於報復心,我就先讓他下載。過了一會兒,當下載到90%的時候,我點了取消。然後又把網路斷了,開啟了木馬克星,一掃描。發現被安裝了Remote administrator。把木馬殺掉後,我又透過搜尋檔案的方法將這一個星期內安裝的軟體全部刪除。但這樣還是不能解決問題啊,關鍵是要找出被攻擊的漏洞。

  因為這臺電腦只是用來做代理服務,WinRoute 就開放了SMTP,POP3 和DNS服務。難道是Windows 2000的設定上出了問題?根據一些安全設定的資料,我禁用了很多不必要的服務。打上最新的補丁,將Guest賬戶禁用,將管理員賬戶修改密碼,並改了名,將磁碟的讀取許可權也做了設定,還做了一些本地安全策略。這個就不多講了,大家可以去查閱資料。經過一陣忙活,認為這樣總可以高枕無憂了。開啟代理服務,讓它繼續工作。

  但好景不長,一個星期六的下午,我來到機房檢視裝置。當我開啟代理伺服器的顯示器的時候,讓我絕望的一幕出現了。居然又有人在代理伺服器上下載夢幻西遊!原來前幾天的平靜是入侵者不想讓我發現,實際上問題並沒有解決。他認為星期六沒人了,可以為所欲為,看來他的目的就是想利用我的電腦掛機。

  我彷彿看到了駭客在網路的那端恥笑著我。到底哪裡出問題了呢?補丁剛打過,應該沒什麼漏洞,入侵者到底是利用哪個埠進來的呢?轉到DOS目錄下,輸入Netstat -a 檢視了一下埠,除了正常的幾個,發現有一個3129埠被人在使用。

  我只記得WinRoute 裡的代理用到了3128埠,難道這個3129埠也和WinRoute 有關?檢視了一下資料,發現木馬Master Paradise開放3129埠。而且這臺電腦一般就執行WinRoute 服務,想到這裡馬上開啟WinRoute 控制介面,在裡面仔細搜尋了一番,果然發現在"設定→高階"中有一項 "Remote Administration",它預設就允許遠端控制,而預設開放的埠恰好是3129。

  原來是WinRoute 留下的後門。因為很多資料對WinRoute 的設定有詳細的介紹,但“遠端控制”控制檯的功能講得比較少,所以大家也都不是很在意這個地方。但它確實可以被一些木馬所利用,而且危害非常大。在這裡想提醒各位使用WinRoute的朋友,最好把這一功能去掉,以絕後患。病因終於找到了,我平時也不怎麼用遠端控制,就將這一選項去掉。然後再像剛才那樣做了一番設定,終於把入侵者的這扇門堵上了。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962159/,如需轉載,請註明出處,否則將追究法律責任。

相關文章