电脑不幸被黑

           前几天在 .net 2.0环境弄DotText, 装SQLServer的时候（刚刚重装系统的），一时手快，直接给了sa一个123的密码，没想到这就留下了祸端。

          这几天工作比较松，于是就在家里开着电脑，打开终端服务，在公司直接远程终端连上去。昨天上午，原本还好好的能进去的，再次登陆的时候老是提示密码错误。我就纳闷了，明明密码没改过，怎会密码错误呢？唯一一个可能，电脑被人黑。于是乎，一身冷汗，我的资料啊，好些源代码，被人彻底删的话，那还了得。

          中午下班，立马坐车回去，还好，家里离公司不远，中午一个小时休息时间可以来回一趟（午饭就只能拜托同事帮忙打包回来了）。

          回到家，即刻拔掉网线（可保留入侵者的信息），开显示器，打开终端服务管理。果然，一个家伙在那里挂着，靠，竟然是用Guest用户的，显然是将Guest用户提升到了Administrator权限。跑到计算机管理，看看用户，晕，竟然将所有windows用户给删掉，开始我还以为是改了我的Administrator的密码，没想到那家伙这么绝。

           最关心最关心的还是我的资料，逐个盘打开，还好，资料没删，算还有点道德。

           将终端服务管理那边记录下来的入侵者的信息截图下来，再netstat 一下，将结果也截图下来，晚上再慢慢分析，得赶回去上班。

          不过从netstat的结果就已经大概明白了是怎么回事。因为netsata记录的大部分都是跟sqlserver的连接。肯定是通过弱口令扫描，拿到sa的密码，然后再用xp_cmdshell将guest提升到administrator权限，再远程终端上去，之后嘛，喜欢做什么就做什么了。

(nnd，肯定又是哪个小毛孩，在网上看了篇sqlserver入侵的，然后就照着人家的步骤一步步去弄的，没点技术含量，鄙视ing，还浪费我4元车费）

        晚上回来，进去Guest用户的桌面目录，我靠，竟然还留下一大堆工具，端口扫描，远程终端客户端工具等等，还有几个扫描结果列表，ft，肯定是用我的机做肉鸡，再去入侵别人的电脑。估计入侵我的电脑的时候，已经是用别人的机做肉鸡的了。

       得解决问题才行了，windows的所有用户、组都被删了，我要是重启的话，肯定不能进去的了。于是，添加用户，晕，提示出错，没有组信息。添加组，又提示改组已存在，心烦，懒得理，重启。出错，那是肯定的，提示”windows安全帐号管理配置错误……”，无奈，进入dos，将system32/config下面的sam文件给干掉（干掉那文件后，系统重启后会认为Administrator帐号是空密码的）。重启，果然可以以空密码进入。

       之后，防火墙还是不断拦到又对1433端口的扫描记录，一看IP，晕，跟先前用netstat记录下的IP一样，阿门，估计那台机是惨遭毒手，不停地扫描他人的端口。

        唉，这年头，网络安全漏洞多，玩弄下三脚猫功夫的人更多。