由于单位的某台服务器之前一直被人恶意挂马,进程里会生成2003.EXE文件,服务器里也会加载一些木马服务,服务名随机英文字符串,挂马之后系统多出管理员账号,远程桌面被开启,金蝶应用加密狗运行报错。本想测底查查哪个漏洞引起的,但是处理时间比较有限,监测了一阵子后还是没有发现从哪个端口入侵的,只发现了一些入侵后挂马的脚本等等。最终只能放弃监测,草草地通过防火墙抵制入侵,事后个人80%猜测是通过sqlserver 2000的1434端口进行入侵的。但是同样有疑点不能解释的有:
1. 同一段IP下有相同配置win2003 + sqlserver2000的服务器,只有这一台有挂马。
2. 换过不同的IP段,没有效果,依旧挂马。
3. 重装系统前都格式化所有硬盘,有没有重做RAID不记得了。
不知道有没有人对这种情况有头绪,此处先不谈了,看上去可能无解。
结合网上搜索到的一些资料,加上自己知道的一些要点,现在整理一下win2003 server的安全设置:
1. 安装后第一时间打上所有的安全补丁
2. 修改管理员账户,并添加一个administraotr的伪账号,该账号权限设置为最小。
3. 禁用guest账号。
4. 编辑安全策略(gpedit.msc),选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,添加账户锁定策略。
5. 在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6. 禁止C$、D$、ADMIN$一类的缺省共享。打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0。
7. 解除NetBios与TCP/IP协议的绑定。右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
8. 关闭不需要的服务,以下为建议选项:
Computer Browser:维护网络计算机更新
Distributed File System: 局域网管理共享文件
Distributed linktracking client:用于局域网更新连接信息
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
9. 安全策略(gpedit.msc)中加入审核机制,这样的目的是能在事件查看器中得到入侵信息。选择计算机配置-Windows设置-安全设置
10. 安全策略(gpedit.msc)中中加入IPSEC,或者防火墙上加入IPSEC
11. 修改远程登录默认端口,默认的为3389,HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations的PortNumber一起改掉。
K:
ccbbp:
匿名:
郑永: