網路如虎口

沒有做Windows更新的電腦直接曝露在Internet中，可以撐多久?

答案是: 不到四個小時...

以前有幾次經驗，檢查對外IIS的Log時，發現幾乎每天凌晨都有一大串嘗試IIS漏洞的Request，依其頻率及連貫性，判斷應是程式自動發的，而且還分別來自不同的IP，表示不只一個人在網路上用程式尋找犠牲品。我這才第一次發現，看似平靜的深夜，其實卻暗潮凶湧! 即使你不是Yahoo, PCHome等大站，只是給三五好友用，沒註冊DNS的小Web，還是有可能被一群無聊的Cracker(恕我不"尊"稱他們為Hacker，因為有些只是抓了現成程式用用的國中生，不用動啥腦筋，甚至連一行程式都不會寫)以掃瞄IP的方式盯上。

一位朋友基於成本、網路連線速度的考量，打算把原本放在國外虛擬伺服器上的論壇牽回家中，改走ADSL。新Server剛灌好，晚上12點MSN問了我Terminal Service連不通的問題，我跟他說可能是Windows內建的防火牆設定阻攔，請他先關掉試試。不過也提醒他，關掉防火牆很危險的，但得試試才能排除是否為防火牆的問題。由於他要換Monitor才能試，沒等結果我就去睡了。

隔天一大早，朋友跟我說昨天調了PPPoE的防火牆設定後Terminal Service就通了，但Server在凌晨出現"LSA Shell 遇到問題必須關閉"的錯誤訊息，還自動重新開機，我Google了一下，不妙!! 看來像是被Sassar蠕蟲攻擊的結果，電腦剛裝好，沒上Windows Update的機率很高，所以被Worm攻擊的可能性也很大。只是才僅僅數小時就中鏢，速度之快超乎我的想像。我建議朋友快點上Windows Update並加裝防毒軟體，心想幸好是新裝的機器，頂多重灌OS，損害有限。沒想到不久之後，朋友再跟我說他被ISP警告了:

敬啟者 X先生 您好：

我不確定是否因為機器上開了允許Relay的SMTP Service還是被稙入程式當成跳板，但推論前者的機率較低(因為即使裝了SMTP Service，預設值是不接受Mail Relay的)，若是後者就令人心驚，被稙入程式後，任何事情都有可能發生，說不定還會變成某宗犯罪行動的基地!

由這次事件，我也學到不少，隨手整理出幾條防駭守則:
1.裝好OS，請盡快做完Windows Update並裝上防毒軟體，之後再放上Internet。
2.防火牆功能請保持啟用狀況，永遠只開放必要的Port。
3.網路上的Cracker比你想像的多，不安全的狀態一分鐘都嫌久。