服务器安全事件一

记录下服务器的安全事件：被别人破解后远程控制。这个算不算被黑了？应该算吧。

 

被破、被远程之后，做的第一件事情就是暂时关机。

 

然后开始琢磨怎么修改远程端口（估计默认的远程端口容易被扫描和暴力破解）。

STEP1:主机外侧做端口配置（安全组策略），开放自己想要的远程登陆端口

 

 

 

 

 

 添加完后，我以为马上就可以生效的，结果远程登陆测试，不行，看来还需要设置主机里面的参数。

STEP2:设置主机里面的参数，怎么设置，我也不会，只能求教万能百度。

1. 运行，找到运行对话框，一种方法是：开始->附件->运行；另外一种是快捷键win+R组合键，win就是键盘上的windows系统图标键。

   
2.  

   Regedit，在对话框中输入regedit命令，然后回车

   
3.  

    打开注册表，输入命令后，会打开系统的注册表，左边是目录栏，右边是目录下的子菜单或者目录内容。

   
4.  

    修改端口1,按照路径打开，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp ，双击文件，切换到十进制，默认是3389，将他修改为其他数字，比如8888,6666等等，确定。

   
5.  

    修改端口2，按照路径，HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp，修改PortNamber的值，方法同上。

   
6.  

   关机重启，修改完之后，不是大功告成了，设置还没有生效，还差一步将电脑重新启动就可以了。

   
7.  

   验证，重启电脑之后，找另外一台电脑远程登录测试一下，这个时候远程桌面连接的地址栏中就需要将自己主机的IP:端口号。

   

    

主机配置完后，搞定，测试完美进去。

改好了远程端口后，我以为安全了，结果过了几天后，发现还是被黑进去了，为了证明被黑进去，我去看了下windows的操作记录，确确实实又被别人登陆了。

以下是记录截图：

 

 之后又改了不经常使用的端口，目前没有被攻破的迹象。