由于工作的特殊性,笔者负责管理机房的交换路由设备和几台重要的服务器。其中有两台服务器用做Web,分别安装了Windows 2000 Server和Windows 2003 Server操作系统,采用NTFS分区,同时使用TOMCAT和IIS对外提供Web服务。
入侵事件就发生在这台安装Windows 2000 Server操作系统的服务器上。笔者在检查服务器时突然发现机器的Guest用户被启用,奇怪!以前根本没有用过这个账号?打开Guest账号,发现这个账号已经在管理员组了。可以肯定机器被入侵了,有人在利用这个账号。
入侵处理
于是,笔者毫不犹豫地把Guest用户从管理员组脱离,然后停止Guest账号,值得庆幸的是,超级管理员的密码还没有被修改,暂时松了一口气之后,开始检查服务器。
笔者首先把网卡全部禁用,截断与外网的连接。打开IIS,网页正常,没有任何改动,后台My SQL数据库也正常。粗略地查看了一下硬盘上的文件,并没有发现多余的文件。不过,查看到系统日志时,笔者吓了一跳,只剩下近两天的日志记录了,打开几个报警的记录看了一下,都是“找不到××文件,无法查杀”,也没有和Guest账号相关的记录。笔者突然想到,既然是Guest用户被启用,那么在Documents and Settings目录下应当有它的文件夹。仔细查看Guest账号下的文件,看到很多文本文件,名字起得有点奇怪,都是诸如怪物说话、盛大最新地图、法师召唤怪物等,这些都是网络游戏里常用的名字,难道有人在用这台服务器开网络游戏? |
