1. 個人猜測對方一開始根本不是透過VNC進來的。進來之後再去植木馬,植remote control或開什麼後門就隨便他了。
2. IIS的漏洞不少,建議換掉它。但這也不代表改用其他web server你就沒事就是了。不過IIS和Apache的名聲太響亮,想當hacker/cracker,首要目標一定是他們。想用愈普遍的web server那代表你自己要更用功。
3. Windows上的Administrator或UNIX/Linux上的root都有它特殊的system ID,你再怎麼改名或設密碼是沒用的,帳號設長一點,密碼設複雜一點只能拖慢密碼暴力破解的時間,就像摩托車加很多鎖一樣。但是我既然不是開大門走大路的進來,你的鎖再多再複雜也沒用。(雖然鎖門對這種入侵沒有用,但是還是要鎖一下啦)
4. 當系統管理者,要從入侵者的角度出發看系統安全。通常入侵者最想要的幾個東西一定要守住:
(1)系統管理者的權限:最常被利用系統的安全漏洞取得,所以系統更新一定要做,雖然MS通常是慢了N拍才出patch。帳號密碼的設定也要複雜、常換,假設被入侵的話也要有能力找出系統被做了哪些變更,比如新增了一個管理者帳號或植入了木馬或後門。
(2)命令列:入侵之後不外乎可以在你的系統上做一些動作,所以不管是透過remote control、remote registry、web server等方式都可以,但是.. 最好用的還是command line啦。所以身為系統管理者,應該要花時間研究一下可以讓你遠端使用到command line的所有可能的方式。
(3)上傳檔案:不論是ftp或是任何形式的上傳檔案經常是駭客入侵後的第一個動作,因為千方百計進來了,如果只能用系統的工具建建帳號、改改檔案,效力有限時間又長,的確很容易被發覺,最好是能上傳一個script或小程式,讓他主動或被動的執行至少一次就通通搞定了不是很好? 所以杜絕所有可能上傳檔案的管道也可以大幅降低被入侵的機會。(管理者自己不要耍白爛,拿這台電腦來上網喔,這樣隨便一個社會工程或網頁惡意程式碼就自己把它弄進來了..)
5. 總之重點就是:(1)減少被攻擊面 (2)遭受攻擊之後要有辦法做損害控制。
6. 以上只是略舉一些系統管理者要學的東西,愈學愈多陷愈深,如果不想這麼複雜,就網站外包代管就好了。就算網站被入侵也只要出一張嘴罵廠商就好了。
7. 我不是大師,以上僅是個人淺見,有錯請小小鞭~
