这是一次非常规的网路安全检测，或者也可称为网路安全调查。

　　一、缘由：

　　几天前，朋友说他们单位的一台数据库服务器好像被人黑了，并且在桌面上留言“***到此一游!”。我赶过去，对这台数据库服务器的系统进行了全面的检查。这台主机是Windows XP系统，没有打SP2补丁包。检查的结果让我非常惊讶：1.系统中有两个管理员用户“administrator”和“new”，并且密码都为空。2.系统开了3389端口，可以进行“远程桌面”连接。3.系统的开了23端口，可以telnet上去。4.系统135、445端口都开着，默认共享也没有删除。5.这台作为数据库服务器的主机，直接用sa连接数据库，密码为“sa”，可以用用SQL连接器连上去。通过问朋友得知这个系统是他用ghost盘做的，因为他看到好多人都是这样做的。难道这种现象具有普遍性?于是才有了这次非常规安全检测，看看笔者本地的网络安全到底怎么样。

　　二、工具：

　　s扫描器、微软远程登录工具(mstsc.msc)、telnet、SQL登录器

　　三、时间段：

　　某天晚上8点和一个工作日的早晨10点。

　　四、对象：

　　本地ADSL用户

　　五、检测

　　ADSL拨号上网，运行“命令提示符”(cmd.exe)，然后用“ipconfig”命令获得本机外网ip地址。然后以本机IP为中心，确定一个ip段，以备用s扫描器扫描。

　　1、远程登录测试(3389端口)

　　第一步：在命令提示符下运行s扫描器，敲入如下命令：

　　s syn **.1**.133.1 **.1**.138.254 3389

　　不到10秒钟，结果出来了。(图1)

                                                                             图1

　　令人震惊!这个ip段有365台上线的主机，开3389端口的竟然有202个，占到73.7%!

　　第二步：用微软自己的“远程桌面连接”工具(mstsc.msc)连接测试，从中随机找一个开了3389端口的主机，进行连接。哇!连上了!敲入用户名“administrator”，空密码测试，提示有“new”用户当前登录。(图2)，原来有一个用户名为“new”的用户在。对不起了，直接点击确定，显示第一次登录的用户配置界面，不到10秒钟，果然进去了。马上“注销”出来。然后用“new”用户，空密码登录，也进去了。对方在看MM!(图3)马上退出来。随即对开了3389的其他主机进行测试，成功率高于60%。在测试中竟然有的Windows SP系统竟然支持多用户登录!登录进去后，对于一个没有安全意识的人他根本无法知道!有部分主机的“new”账户设置了密码，但“administrator”的密码为空。还有部分用户的设置了密码，但密码简单，猜三四次就猜中。比如一些简单的弱口令“123456”、“ndows”、“adsl”等等。

                                                                                        图2

[1] [2] [3] 下一页