家里内网被入侵

事情要从昨天晚上说起，昨天晚上睡觉前突然断网，我也没多在意，以为Ken去下bt，可能把带宽全部拖死了，或者TPG的网络又间歇性抽风，于是就没去管它睡觉了。

但是到了早上醒来还是断网，感觉不太对劲，跑去看router，只见router里面连接我内网主服务器的接口灯狂闪，于是重启机器，之后恢复了平静，当查看Event Log的时候发现不知道为什么NT AUTHORITY\SYSTEM这个帐号几乎每分钟都有登录注销的活动。感觉可能被入侵了。

于是马上把过期的杀毒软件重新更新一下，查毒，在C盘发现了3个木马，删除之。

但是还是不太放心，于是去瞄了一眼Active Directory里面的用户，果不出我所料里面被建立了1个不认识的帐号。马上禁用此帐号。我以为告一段落，就没有去管它了。

没想到的是晚上回家的时候，服务器似乎被控制的差不多了。刚回来没多久，小kenken的帐号突然被删除，就这样，他账户的任何设置全部消失，下载到一半的东西也没有了。

我帮ken重建帐号后马上去看active directory里面的帐号，发现里面多了2，3个帐号，而最特别的是有一个取了IWAM_开头的用户名，乍一看很难发现。更加严重的是，由于我把这台机完全映射到外网的，那个小黑竟然还rdp进来，在桌面上考了x-scan, 安装了web迅雷，估计是要准备大干一场了。

查了一下ip，发现是一个台州的兄弟（如果那个小黑没有用proxy server的话），马上就很怀疑是不是ken在台州的仇人干的，因为一登录进来就删掉了ken的帐号。

我本来前两个星期才很开心的在家里建了，企业级网络，增加了DNS SERVER, Active directory, 结果这下把我搞的是灰心丧气了。我的防御意识果然低下，我的防御能力果然差劲。

实在是想不出很好的办法，也很想睡觉了。于是么就打开了router防火墙，在server建了ipsec阻止了那个IP, 然后删掉router里面的DMZ主机设置，就留个80端口映射过来。

其实感觉我家的电脑没啥利用价值，可能是在国内gfw搞得不爽了，找个国外的机器来下下国内下不到的资源吧，然后ftp回国内，但是殊不知澳洲的网络上传速度是龟速。只是真的希望那个小黑同学不要越玩越来劲了，再被入侵的话我就要把系统重新搞过了。可能装了win server 2008玩玩，装点防火墙。再不行，我就只能把服务器扔下线了，再也不做web server了。