【赛迪网独家特稿】3389本来是一个普通的端口,原本是为了网管们远程操纵服务器而设计的,未曾想竟成了黑客眼中一道永远的后门。假设您的超级用户账号Administrator与密码已落入他人之手,或者对方已经新建了另一个超级用户,而且与自己同时登录进入了服务器,除非对方占用资源较多时我们能感觉到系统迟钝外,否则根本无法发觉。
那么,有没有什么好办法可以检测出背后的这只黑手呢?
直接法——终端服务管理器
打开“控制面板”→“管理工具”→“终端服务管理器”,如图1所示,在左侧窗口中选中自己的服务器,本例中服务器名称为“SERVER”。右侧窗口中就列出了用户的状态:中间“会话”一列有“Console”的就是您自己,其ID为0,状态为“运行中”。上面的那个同名的Admin就是我们要找的背后用户了,ID为2,状态为“运行中”,后面还有登录时间。此时,我们可以在这个用户名称上面右击,弹出的快捷菜单中有“断开”、“发送消息”、“状态”等选项。或者到左侧窗口中分别单击选中各自的会话号,右侧窗口中就会显示出对应的用户所运行的进程ID、PID及映像名称信息。
间接法——“任务管理器”中的同名进程
按“Ctrl+Shift+Esc”组合键直接打开Windows 任务管理器,或者或按“Ctrl+Alt+Delete”键后单击“任务管理器”,选中其中的“进程”标签。选中“显示所有用户的进程”前的对钩,如图2所示,看到什么异样了吗?对,有好多相同名称的进程,说明对方也在运行着同样的程序,如果有自己没运行但却出现的非系统进程,也是对方运行的进程。(n101)
