我是通過Windows 2000和winroute的代理方式上網(wǎng)。這兩天，代理服務(wù)器總是出現(xiàn)一些怪現(xiàn)象，運(yùn)行程序好像很緩慢，而且還會(huì)自動(dòng)重啟。難道是中了病毒？還是中了木馬？不管怎么樣，先去看看再說吧。

來到機(jī)房，先把網(wǎng)線拔去。重啟后，運(yùn)行殺毒軟件，殺了一遍，并沒有發(fā)現(xiàn)病毒。隨后插上網(wǎng)線，打開IE瀏覽器，這時(shí)奇怪的事情發(fā)生了，怎么地址欄里有一些莫名其妙的網(wǎng)址？難道有人用過這臺(tái)電腦？我覺得事態(tài)嚴(yán)重了，可能中了木馬。

我起身去倒了杯水，準(zhǔn)備一場(chǎng)大戰(zhàn)。當(dāng)我回來的時(shí)候，瀏覽器居然自動(dòng)打開了 “夢(mèng)幻西游”的網(wǎng)站，正在下載客戶端（還新裝了一個(gè)下載軟件），它居然想用我的代理服務(wù)器來掛機(jī)打網(wǎng)絡(luò)游戲！

既然知道了原因，我想總可以解決的。所以也并不著急。出于報(bào)復(fù)心，我就先讓他下載。過了一會(huì)兒，當(dāng)下載到90%的時(shí)候，我點(diǎn)了取消。然后又把網(wǎng)絡(luò)斷了，打開了木馬克星，一掃描。發(fā)現(xiàn)被安裝了Remote administrator。把木馬殺掉后，我又通過搜索文件的方法將這一個(gè)星期內(nèi)安裝的軟件全部刪除。但這樣還是不能解決問題啊，關(guān)鍵是要找出被攻擊的漏洞。

因?yàn)檫@臺(tái)電腦只是用來做代理服務(wù)，winroute 就開放了SMTP，POP3 和DNS服務(wù)。難道是Windows 2000的設(shè)置上出了問題？根據(jù)一些安全設(shè)置的資料，我禁用了很多不必要的服務(wù)。打上最新的補(bǔ)丁，將Guest賬戶禁用，將管理員賬戶修改密碼，并改了名，將磁盤的讀取權(quán)限也做了設(shè)置，還做了一些本地安全策略。這個(gè)就不多講了，大家可以去查閱資料。經(jīng)過一陣忙活，認(rèn)為這樣總可以高枕無憂了。開啟代理服務(wù)，讓它繼續(xù)工作。

但好景不長(zhǎng)，一個(gè)星期六的下午，我來到機(jī)房查看設(shè)備。當(dāng)我打開代理服務(wù)器的顯示器的時(shí)候，讓我絕望的一幕出現(xiàn)了。居然又有人在代理服務(wù)器上下載夢(mèng)幻西游！原來前幾天的平靜是入侵者不想讓我發(fā)現(xiàn)，實(shí)際上問題并沒有解決。他認(rèn)為星期六沒人了，可以為所欲為，看來他的目的就是想利用我的電腦掛機(jī)。

我仿佛看到了黑客在網(wǎng)絡(luò)的那端恥笑著我。到底哪里出問題了呢？補(bǔ)丁剛打過，應(yīng)該沒什么漏洞，入侵者到底是利用哪個(gè)端口進(jìn)來的呢？轉(zhuǎn)到DOS目錄下，輸入Netstat -a 查看了一下端口，除了正常的幾個(gè)，發(fā)現(xiàn)有一個(gè)3129端口被人在使用。

我只記得winroute 里的代理用到了3128端口，難道這個(gè)3129端口也和winroute 有關(guān)？查看了一下資料，發(fā)現(xiàn)木馬Master Paradise開放3129端口。而且這臺(tái)電腦一般就運(yùn)行winroute 服務(wù)，想到這里馬上打開winroute 控制界面，在里面仔細(xì)搜索了一番，果然發(fā)現(xiàn)在“設(shè)置→高級(jí)”中有一項(xiàng) “Remote Administration”，它默認(rèn)就允許遠(yuǎn)程控制，而默認(rèn)開放的端口恰好是3129。

原來是winroute 留下的后門。因?yàn)楹芏噘Y料對(duì)winroute 的設(shè)置有詳細(xì)的介紹，但遠(yuǎn)程控制控制臺(tái)的功能講得比較少，所以大家也都不是很在意這個(gè)地方。但它確實(shí)可以被一些木馬所利用，而且危害非常大。在這里想提醒各位使用winroute的朋友，最好把這一功能去掉，以絕后患。病因終于找到了，我平時(shí)也不怎么用遠(yuǎn)程控制，就將這一選項(xiàng)去掉。然后在像剛才那樣做了一番設(shè)置，終于把入侵者的這扇門堵上了。

【編輯推薦】

1. 安全試驗(yàn)：如何通過代理服務(wù)器發(fā)動(dòng)DDoS攻擊
2. 詳解Windows服務(wù)器安全設(shè)置