上文《安全日志：成千上万的“审核失败”，帐户登录失败日志》提到，服务器管理员账号有可能正在被暴力破解中，作为服务器管理员，我不能坐以待毙，不知了以下3道防线：

1，修改管理员账号。把管理员账号administrator修改成一个不常见的用户名，例如lazyperson，并使用比较复杂的密码，最好包含有大小写英文、数字、特殊符号，10个字符以上。

2，修改远程桌面服务端口。远程桌面服务端口默认是3389，在连接时不需要提供。这给黑客提供了方便，只需要知道服务器IP就可以不断地尝试用户密码了。于是我把这个端口改掉了。

3，关闭135端口。今天上服务器查看，发现有人正在尝试管理员的账号密码，于是用命令netstat -ano查看，发现对应IP连接的是135端口。找了一下资料，说是RPC服务所使用的端口。服务我决定先不去管它，用防火墙先把135端口封掉试试看吧！

查看日志，暂时没有再生成相应的“安全”日志了，不知道是攻击者暂停了还是防火墙其效果了。过两天再验证一下吧！

Related posts: