检测3389

goodcjh2005

检测3389\r\n\r\n3389本来是一个普通的端口，原本是为了网管们远程操纵服务器而设计的，未曾想竟成了黑客眼中一道永远的后门。假设您的超级用户账号Administrator与密码已落入他人之手，或者对方已经新建了另一个超级用户，而且与自己同时登录进入了服务器，除非对方占用资源较多时我们能感觉到系统迟钝外，否则根本无法发觉。 \r\n\r\n那么，有没有什么好办法可以检测出背后的这只黑手呢？ \r\n\r\n直接法——终端服务管理器 \r\n\r\n打开“控制面板”→“管理工具”→“终端服务管理器”，如图1所示,在左侧窗口中选中自己的服务器,本例中服务器名称为“SERVER”。右侧窗口中就列出了用户的状态：中间“会话”一列有“Console”的就是您自己，其ID为0，状态为“运行中”。上面的那个同名的Admin就是我们要找的背后用户了，ID为2，状态为“运行中”，后面还有登录时间。此时，我们可以在这个用户名称上面右击，弹出的快捷菜单中有“断开”、“发送消息”、“状态”等选项。或者到左侧窗口中分别单击选中各自的会话号，右侧窗口中就会显示出对应的用户所运行的进程ID、PID及映像名称信息。 \r\n\r\n间接法——“任务管理器”中的同名进程 \r\n\r\n按“Ctrl+Shift+Esc”组合键直接打开Windows 任务管理器，或者或按“Ctrl+Alt+Delete”键后单击“任务管理器”，选中其中的“进程”标签。选中“显示所有用户的进程”前的对钩，如图2所示，看到什么异样了吗？对，有好多相同名称的进程，说明对方也在运行着同样的程序，如果有自己没运行但却出现的非系统进程，也是对方运行的进程。(

plumlee

这个没有什么危害性的吧\r\n\r\n第一，除服务器版本外，XP，2000PRO等都不可以同时使用两个桌面。\r\n第二，如果你的服务器administrator密码都让人知道了。那就不是3389的错啦，是你的错，你不该让别人知道密码。\r\n第三，你可以设定不允许一个用户同时登录两次以上。

platinum

不少人都很喜欢把自己的问题归结于别人身上

fwizard

原帖由 \"plumlee\" 发表：\n第二，如果你的服务器administrator密码都让人知道了。那就不是3389的错啦，是你的错，你不该让别人知道密码。\r\n

\r\n被攻击者溢出后拿到密码呢?不仅仅是保护密码的问题,作为一个计算机使用者,更应该注意系统的安全.

platinum

3389 本身就是为了方便远程管理而做的，如果你认为不安全，可以加防火墙，仅允许特殊 IP 连接啊\r\n这些都看你如何做，但不要把责任归结于 3389 不好

kaichun

我一般都是更改成其他的端口，不过如果是在企业中使用，需要同时更改防火墙设置，windows 2000客户端需要修改远程登陆设置，XP客户端不需要。

frosty

原帖由 \"platinum\" 发表：\n3389 本身就是为了方便远程管理而做的，如果你认为不安全，可以加防火墙，仅允许特殊 IP 连接啊\r\n这些都看你如何做，但不要把责任归结于 3389 不好

\r\n\r\n支持\r\n对于曾经的 输入法漏洞 在今天几乎已经灭绝了

我爱臭豆腐

原帖由 \"frosty\" 发表：\n\r\n\r\n支持\r\n对于曾经的 输入法漏洞 在今天几乎已经灭绝了

\r\n\r\n这个错误太原始了.基本上有一点点良知的管理员都会打上一些补丁的.不叫这个错误存在. :em11:

aximofu

3389是个好东西，我喜欢