實戰分析 一次WinRoute後門攻防(轉)

實戰分析 一次WinRoute後門攻防(轉)[@more@]　　學校透過Windows 2000和WinRoute 的代理方式上網。這兩天，代理伺服器總是出現一些怪現象，執行程式好像很緩慢，而且還會自動重啟。難道是中了病毒？還是中了木馬？不管怎麼樣，先去看看再說吧。

　　來到機房，先把網線拔去。重啟後，執行防毒軟體，殺了一遍，並沒有發現病毒。隨後插上網線，開啟IE瀏覽器，這時奇怪的事情發生了，怎麼位址列裡有一些莫名其妙的網址？難道有人用過這臺電腦？我覺得事態嚴重了，可能中了木馬。

　　我起身去倒了杯水，準備一場大戰。當我回來的時候，瀏覽器居然自動開啟了 "夢幻西遊"的網站，正在下載客戶端（還新裝了一個下載軟體），它居然想用我的代理伺服器來掛機打網路遊戲！

　　既然知道了原因，我想總可以解決的。所以也並不著急。出於報復心，我就先讓他下載。過了一會兒，當下載到90%的時候，我點了取消。然後又把網路斷了，開啟了木馬克星，一掃描。發現被安裝了Remote administrator。把木馬殺掉後，我又透過搜尋檔案的方法將這一個星期內安裝的軟體全部刪除。但這樣還是不能解決問題啊，關鍵是要找出被攻擊的漏洞。

　　因為這臺電腦只是用來做代理服務，WinRoute 就開放了SMTP，POP3 和DNS服務。難道是Windows 2000的設定上出了問題？根據一些安全設定的資料，我禁用了很多不必要的服務。打上最新的補丁，將Guest賬戶禁用，將管理員賬戶修改密碼，並改了名，將磁碟的讀取許可權也做了設定，還做了一些本地安全策略。這個就不多講了，大家可以去查閱資料。經過一陣忙活，認為這樣總可以高枕無憂了。開啟代理服務，讓它繼續工作。

　　但好景不長，一個星期六的下午，我來到機房檢視裝置。當我開啟代理伺服器的顯示器的時候，讓我絕望的一幕出現了。居然又有人在代理伺服器上下載夢幻西遊！原來前幾天的平靜是入侵者不想讓我發現，實際上問題並沒有解決。他認為星期六沒人了，可以為所欲為，看來他的目的就是想利用我的電腦掛機。

　　我彷彿看到了駭客在網路的那端恥笑著我。到底哪裡出問題了呢？補丁剛打過，應該沒什麼漏洞，入侵者到底是利用哪個埠進來的呢？轉到DOS目錄下，輸入Netstat -a 檢視了一下埠，除了正常的幾個，發現有一個3129埠被人在使用。

　　我只記得WinRoute 裡的代理用到了3128埠，難道這個3129埠也和WinRoute 有關？檢視了一下資料，發現木馬Master Paradise開放3129埠。而且這臺電腦一般就執行WinRoute 服務，想到這裡馬上開啟WinRoute 控制介面，在裡面仔細搜尋了一番，果然發現在"設定→高階"中有一項 "Remote Administration"，它預設就允許遠端控制，而預設開放的埠恰好是3129。

　　原來是WinRoute 留下的後門。因為很多資料對WinRoute 的設定有詳細的介紹，但“遠端控制”控制檯的功能講得比較少，所以大家也都不是很在意這個地方。但它確實可以被一些木馬所利用，而且危害非常大。在這裡想提醒各位使用WinRoute的朋友，最好把這一功能去掉，以絕後患。病因終於找到了，我平時也不怎麼用遠端控制，就將這一選項去掉。然後再像剛才那樣做了一番設定，終於把入侵者的這扇門堵上了。