一次大意导致的服务器被黑过程，还好菜鸟黑客让我损失不大

上周五，把客户的DELL R840和DELL R440服务器送过去装到了机柜上，然后应软件公司的要求开通了远程桌面。刚好客户重新申请的电信专线也开通了，我就顺便在路由器上做好了端口映射，准备测试一下。在现场测试正常以后，想到第二天是周末，准备让服务器烧两天，就没有关机。

回到公司远程桌面连接过去一切正常，就下线下班回家了。周一早上刚到公司，客户那边来电话了，说软件公司的人来了，准备安装软件，但是远程登录报密码错误。小编打开远程桌面，连过去一看，也是报密码错误。

我马上意识到服务器被人黑了。当时考虑到服务器还没有配置，怕登录麻烦，装机设的密码是Abc123，小编周五走的时侯准备改一下密码的，想着就是周末烧一下服务器，不至于就被黑了吧。没想到就真被人扫描弱密码了。

赶紧在网上下载了密码清除工具，赶到客户那里，拔了网线，U盘启动，将密码清除了。服务器出了这档子事，反正只有系统，一定是要重装的，整个周末的时间，双方装多少后门都有时间。但是小编准备重新一个复杂的密码，插上网线，再试一下对方。

在桌面上建了一个TXT文档，名字是“我准备重装系统了”！看对方会不会看！大约过了一个小时，小编再次连接远程桌面，果然，密码又被改了，看来对方根本没看我桌面上的文件啊，现在可以确定服务器里一定是有后门了。我刚搞完双给我改了，对方还是个急性子，这是赤裸裸的打脸啊。

再次拔掉网线，清除密码。小编决定找一下看看装了啥后门，然后再重装系统。因为服务器里没有安装其他任何应用，而且只有一个C盘和D盘，大致找一下并不困难。打开C盘，调成文件列表模式，按日期排列文件和文件夹，Windows　2012安装以后的文件和文件夹都是显示2013年，2014年的日期，我只需看看有没有最近修改日期的文件，很快小编便发现了有几个2018年10月26日修改过的文件夹和文件。10月26日这天，正好是周五。小编将服务器挂到网上的时间。

文件修改时间

然后发现对方在windows/reg/下面放了一个注册表文件和一个可执行文件。写入注册表里sethc.exe的键值指向的是这个可执行文件，点了一下，这个可执行文件还被加密了，需要输入密码才可以。然后去看了一下系统里的sethc.exe，果然已经被替换了。

很明显，对方用替换了sethc.exe，并且使用了注册表镜像，单纯删除sethc.exe是没有用的，马上会复制新的过去。

对方的注册表文件，将sethc.exe指向了后门程序

插上网线，远程桌面过去，按五次shift，果然那个熟悉的输入密码的窗口来了。至此，我已完全确认服务器上被安装了“5次Shift会触发粘滞键的shift后门”。

小编已不想再浪费时间去找有没有其他的后门了，反正系统是要重装的。虽然sethc后门我可以清掉，但小编我也不敢冒此风险，万一对方还有其他的后门，等服务器上线以后，会更麻烦。不如重新装系统，连RAID都重做，消除隐患。

后话：这次的被黑给小编造成的损失就是浪费大半天的时间，重装了操作系统。但是退一步说，如果这个“黑客”聪明一些，不要更改服务器的密码，而是潜伏在里面，那小编可能就是在周一改个复杂的密码就交给别人了。根本不会想到有人装了后门。过十天半月以后，客户服务器正常上线，那后面造成的损失就无法估量了。

另外，这件事也给小编提了个醒。服务器安全没有配置好之前，不要上线，更不要用简单密码将服务器挂到网上，基本相当于裸奔了。好在小编以前做linux技术支持时，也很喜欢扫描弱密码，曾经也拿过几百台的肉鸡，这些年没有搞技术支持，安全意识越来越差了。

当然，重装系统以后，小编设置了复杂的密码，调整了防火墙的配置，更改了3389端口，将服务器的安全性尽量提高。

本文由“弱电那些事”原创，当时在服务器上操作，截图不方，并没有截图下来。但情况是小编的亲身经历，供新手们参考。那些所谓的网络安全高手和“黑客”们绕道吧。

嘿~摘下月亮给你，摘下太阳给你，你想要的我都给你，各位看官大人，看到这儿了麻烦给小编个大大的赞呗！！ \(^o^)/关注点个赞，是对小编最大的鼓励！！嗯~，360度各种姿势来求赞求关注！！ \(^o^)/动一动您发财滴小手指头，举手之劳└(^o^)┘劳驾各位看官们！！ 大家如果有什么各自的看法和观点欢迎各位看官们在文章的下方留言和评论、关注点赞以及转发和探讨哈！！！祝各位看官们生意发发发，学业事业成成成，身体康康康！！！ 注：文章内容图片来源于网络， 如有雷同纯属巧合，如有侵权请联系删除，谢谢大家的支持鼓励！！小编在这里感谢各位看官们了！ \(^o^)/