我的朋友告诉我有天晚上他在下载东西，睡不着，又闲着无聊，就拿出了扫描工具[s.exe,这个扫描工具的速度我认为是非常快的]，扫描了[***.***.1.1 ***.***.254.254]开了3389的IP，结果太另我惊奇了，开了3389的集子居然有186台(时间是晚上1点多)，这个还不算什么，我就去连接远程桌面了，[对方是WindowsXP的系统]自然是要用户名和密码了，我就拿[Administrator，密码为空]居然让我进去了，而且[Administrator是第一次登陆，没有个人设置的]我就去看看他有哪些用户，Guest自然是禁用的了，只有两个管理员号码[Administrator和new]，我没动它，管理员和我一样，在下载东西，我加了他QQ，传了个Radmin，搞定之后，我便去看看其他的3389机器了！
我连接第二个扫描出来的3389IP也是WindowsXP的系统，还是老路用[Administrator,密码空]去连的时候，提示[new]在线，我就有点奇怪了，他们两个人的用户怎么是一样的啊，也没怎么在意，这个IP暂时放一边，换IP去连。
IP在连，我的心也在凉！我连了186个IP，发现了一个特点：都开放了3389端口，都有Administrator和new这个用户，而且密码都为空。这意味着什么呢！
还有一台电脑我进去了，他是刚装的系统和驱动，什么都没设置，人不在，我看了他可能把硬盘全格式化了，里面都没文件。
现在我就能确定一件事情啦：他们安装完系统之后，就开了3389，而且建立了一个用户[new，密码空]。
怎么可以这样实现呢，据我初步估计，他们一定是在网上下载了GHOST版系统，很可能是，别人在自己的系统里面做了后门，然后做成了镜像，给你们下载！当你们安装了之后。。。。。。。
以上的事情绝对是真实的！在此，我强烈建议大家不要为了省时间，安装GHOST系统，论坛上志鸿兄弟的那个就很好啊，或者你直接下一个xp505原版的iso算号安装。
大家看了这个帖子之后就到命令提示符下面去打这个命令:netstat -na
上面的那个命令是可以查看自己开了哪些端口的！还有就是给自己的用户设置好密码，特别提醒，发现自己有new这个用户的朋友，建议你们换系统吧(估计你们还是很菜，即使在论坛上说了怎么搞，你们也未必会搞)！
好了，我就写到这里了，下面的事情，你们自己去办吧！
解决方案:
1.系统属性——远程——把“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”复选框前面的勾去掉！
2.开始——控制面板——管理工具——服务，“Terminal Services”(允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务 - 停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机，请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。)括号里的是关于这个服务的描述。禁用了吧！
3.开始——控制面板——管理工具——本地安全策略——本地策略——用户权限分配——通过终端服务允许登陆，你把“Administrators”和“Remote Desktop Users”删除。
4.把用户[new]、用户[Guest]和用户[Administrator]重命名，并且设置一个强密码(推荐：字母＋数字＋字符，的组合)！
5.控制面板——Windows防火墙——例外——把“远程桌面”前的复选框的勾去掉！
6.从IP策略里面关闭木马和病毒默认开放的端口。
7.安装第三方防火墙！
8.多去看看系统日志（开始——控制面板——管理工具——事件查看器）
9.平时多用netstat -na这个命令，去看看有没有开放陌生的端口(运行cmd，在命令提示符下输入netstat -na),也许。。。。
10.养成良好的上网习惯！

真的有这么恐怖吗?好像我用的就是ＧＨＯＳＴ版XP系统哦.

怎么检查是否有3389漏洞呢？

感谢楼主，真是太恐怖了！

谢谢了
不错的帖

好东西啊

真好，，又学了一招

黑天了