服务器入侵引起的重视

今天到单位登录刚放到外网不久的服务器，服务器OS是windows2008 server，发布的应用是为省运会提供GIS查询服务的应用。发现administrator用户无法登录，提示用户名和密码错误。这怎么可能呢？昨天还好好的！苦思冥想也没有办法，幸亏系统中还存有另外一个账户，登录进去查看日志发现，昨天晚上被一个名为xiaopohai的人登录过N次。

服务器入侵！！！这是明摆着的了，由于服务器正在调试阶段，以前都是在内网进行开发和测试，所以根本没有注意服务器的安全问题，而且为了调试程序方便，服务器与外网之间的防火墙也打开了全部端口。立刻作出调整，关闭所有不必要的端口，服务器安装杀毒软件，木马查杀工具，禁用guest帐号，修改administrator的密码，在防火墙上关闭端口，并设置远程桌面连接的地址只能为内网。

这样下来感觉安全了许多，但是xiaopohai这用户名并没有在本地用户中出现，怀疑帐号被克隆，使用mt.exe查找克隆账户，果然guest用户被获得了管理员的权限。为了安全起见，立刻删除了guest账户。查找注册表删除所有包xiaopohai的信息。至此，安全隐患暂时被排除。

通过此事，感觉服务器安全问题已经是一个问题了，我试图通过远程连接域名访问了几个知名的站点，北京公交网，新浪，开心网，结果北京公交网居然可以远程连接，当然，我不是黑客，无法做进一步的操作。日志的记录显示几个四川绵阳的IP地址，我不知道他们是通过什么方式入侵的，如果有人知道的话，请指点一二。

http://www.gpxz.com/tech/html/159122.html

http://www.admin5.com/article/20080925/106045.shtml