一次服务器遭受入侵的攻防

服务器环境

系统环境：win2000 server、SQL2000 sp4、IIS、江民病毒防火墙2007。系统和SQL补丁均为最新 ，江民最新病毒库。除系统必备和IIS必须的服务外，均禁用，比如Server、Workstation、Terminal Service等。IIS发布有两个站点，主要提供局域网内部的资料下载，未对外发布。

前段时间突然发现服务器遭受入侵，本地用户出现可疑用户Server$，用户名后带$符号，并且不属于任何组，无法被删除，只能禁用，被禁用的Guest账号也被起用，服务中被安装了CCProxy服务，终端服务也被起用，心里那个郁闷，于是禁用CCProxy，找到它的程序目录，在outlook express目录下，查看文件创建日期，三天前的，回忆前段时间服务器接上了外来硬盘拷贝资料，因为资料太多，达几百G，为了速度，停掉了杀毒监控，还上了网。于是全部删除CCProxy的文件，再次禁用Guest账号，并且将管理员账号密码改得更复杂，在网上查找用户名带$符号的相关入侵资料，也是说无法删，有人提供了如下方法：

运行regedt32.exe，找到本地机器上的HKEY_LOCAL_MACHINE表，选中SAM-SAM，右键点击，选择权限，更改Administrators的权限为完全控制（在“高级”中）。然后运行regedit查看SAM里的Domains/Account/Users/Names/Server$的类型值删除和它相对应的Domains/Account/Users里的项和Domains/Account/Users/Names/Server$项本身;回到regedt32，恢复sam-sam的权限为:写入DAC 和 读取控制。重启系统。

但是我进入regedt32后，SAM－SAM项根本就是灰色的，点右键根本没有反应，此路不通。只有先暂时禁用该账号，并改名，待秋后再算账吧。然后杀毒，但是没有找到一个病毒和木马，宁我非常失望，难道被加了壳？

隔了几天，再次发现被侵入，又被装上了CCProxy，终端服务也被开启，同时发现又被新建了用户，还有人正登录在服务器上，这次新用户能被删除，停掉了服务，重启服务器，心想肯定被装上了后门，但是如何发现呢？杀毒软件也发现不了病毒和木马！还有哪儿没有处理过？一时想不到

没过多久，再次发现有人进入，这次检查windows系统目录下被新更改的文件，发现一个叫advpack.log的日志文件，打开后终于发现一些蛛丝马迹，其中一些日志含有一些带有入侵者新建的用户名的路径，在Documents and Settings目录下（真是笨啊，用户信息都在这里嘛），先在注册表中搜索这个用户，只有与些有关的健值（有些就是加载了一些可疑文件），一律删除，然后删除Documents and Settings下的这个用户目录。在advpack.log中也发现在系统临时目录下也有些文件被运行，不管三七二十一，清空临时目录。

感觉还不保险，因为不能确定入侵者是如何进入的，再装上防火墙并记录日志，以便发现入侵者的踪迹，因为多半是内网中某人干的，要是被我抓住，哼哼......，不过最后一次处理后，再也没发现被入侵了，唉，有点失望，因为没有找到被入侵的准确原因，入侵者也未被发现。不过，吸取的教训就是不能随便停掉防火墙，服务器最好也不要上网，特别是在防火墙关闭的时候，对于防止入侵的知识，还在多学习。