個人電腦詳細的安全性設定方法
由於現在家用電腦所使用的操作系統多數為Win XP 和Win2000
pro(建議還在使用98的朋友換換系統,連微軟都放棄了的系統你還用它幹嘛?)所以後面我將主要講一下關於這兩個操作系統的安全防範。
個人電腦一般的被入侵方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統被木馬攻擊;
(3) 瀏覽網頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或洩漏訊息;
(5) 病毒感染;
(6) 系統存在漏洞使他人攻擊自己。
(7) 黑客的惡意攻擊。
下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。
本文主要防範方法
察看本機共享資源
移除共享
移除ipc$空連接
帳號密碼的安全原則
關閉自己的139連接阜
445連接阜的關閉
3389的關閉
4899的防範
一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾
禁用服務
本機原則
本機安全原則
用戶權限分配原則
終端服務組態
用戶和群組原則
防止rpc漏洞
自己動手DIY在本機原則的安全性選項
工具介紹
避免被惡意程式碼 木馬等病毒攻擊
1.察看本機共享資源
執行CMD輸入net
share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.移除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續移除)
3.移除ipc$空連接
在執行內輸入regedit,在註冊表中找到
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項裡數值名稱RestrictAnonymous的數值資料由0改為1。
4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。
關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
5.防止rpc漏洞
開啟系統管理工具——服務——找到RPC(Remote Procedure Call (RPC)
Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445連接阜的關閉
修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled
為REG_DWORD檔案類型鍵值為 0這樣就ok了
7.3389的關閉
XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。
Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal
Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro
開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal
Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務,可以關閉3389,其實在2000pro
中根本不存在Terminal Services。
8.4899的防範
網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。
4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全組態,黑客是很難通過4899來控制你的。
9、禁用服務
開啟控制台,進入系統管理工具——服務,關閉以下服務
1.Alerter[通知選定的用戶和電腦管理警報]
2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠端電腦無法訪問共享
4.Distributed Link Tracking Server[適用區域網路分佈式連接? U倏突I朔?馷
5.Human Interface Device Access[啟用對人體學接頭設備(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄製]
7.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容,洩露訊息]
8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
12.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
14.Print Spooler[列印機服務,沒有列印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠端協助]
16.Remote Registry[使遠端電腦用戶修改本機註冊表]
17.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
18.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
19.Special Administration Console Helper[允許管理員使用緊急管理服務遠端訪問指令行提示號]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS
名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
21.Telnet[允許遠端用戶登入到此電腦並執行程序]
22.Terminal Services[允許用戶以交互方式連線到遠端電腦]
23.Window s Image Acquisition (WIA)[照相服務,套用與數碼攝像機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端
10、帳號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名∼∼(改的越複雜越好,最好改成中文的),而且要設定一個密碼,最好是8位以上字母數位符號組合。
(讓那些該死的黑客慢慢猜去吧∼)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登入下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入安全模式,將sam文件移除,從而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了。
開啟系統管理工具.本機安全性設定.密碼原則
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.我設定的是8
3.密碼最長使用期限.我是預設設定42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來儲存於密碼 禁用
11、本機原則:
這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動,還可以說明 我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
開啟系統管理工具
找到本機安全性設定.本機原則.稽核原則
1.稽核原則更改 成功失敗
2.稽核登入事件 成功失敗
3.稽核對像訪問 失敗
4.稽核跟蹤程序 無稽核
5.稽核目錄服務訪問 失敗
6.稽核特權使用 失敗
7.稽核系統事件 成功失敗
8.稽核帳戶登入時間 成功失敗
9.稽核帳戶管理 成功失敗
&nb sp;然後再到系統管理工具找到
事件檢視器
應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件
12、本機安全原則:
開啟系統管理工具
找到本機安全性設定.本機原則.安全性選項
1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網路訪問.可匿名的共享 將後面的值移除
4.網路訪問.可匿名的命名管道 將後面的值移除
5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
7.網路訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶權限分配原則:
開啟系統管理工具
找到本機安全性設定.本機原則.用戶權限分配
1.從網路訪問電腦 裡面一般預設有5個用戶,除Admin外我們移除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠端系統強制關機,Admin帳戶也移除,一個都不留
3.拒絕從網路訪問這台電腦 將ID移除
4.從網路訪問此電腦,Admin也可移除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
附: 那我們現在就來看看Windows
2000的預設權限設定到底是怎樣的。對於各個磁碟區的根目錄,預設給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統磁碟區下有三個目錄比較特殊,系統預設給了他們有限制的權限,這三個目錄是Documents
and settings、Program files和Winnt。對於Documents and
settings,預設的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power
users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program
files,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power
users有完全控制權;SYSTEM同Administrators;Terminal server
users擁有完全控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有完全控制權;Creator
owner擁有特殊權限;Power
users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統磁碟區下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!
14、終端服務組態
開啟系統管理工具
終端服務組態
1.開啟後,點連接,右鍵,內容,遠端控制,點不允許遠端控制
2.一般,加密等級,高,在使用標準Windows驗證上點√!
3.網路卡,將最多連接數上設定為0
4.進階,將裡面的權限也移除.[我沒設定]
再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話
15、用戶和群組原則
開啟系統管理工具
電腦管理.本機用戶和組.用戶;
移除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
電腦管理.本機用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本機原則的安全性選項
1)當登入時間用完時自動註銷用戶(本機) 防止黑客密碼滲透.
2)登入螢幕上不顯示上次登入名(遠端)如果開放3389服務,別人登入時,就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
6)只有本機登入用戶才能訪問cd-rom
7)只有本機登入用戶才能訪問軟式磁碟機
8)取消關機原因的提示
A、開啟控制台視窗,雙按「電源選項」圖示,在隨後出現的電源內容視窗中,進入到「進階」標籤頁面;
B、在該頁面的「電源按鈕」設定項處,將「在按下電腦電源按鈕時」設定為「關機」,按下「確定」按鈕,來結束設定框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接電腦關機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D4、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將「啟用休眠」選項選就可以了。
9)禁止關機事件跟蹤
開始「Start ->」執行「 Run ->輸入」gpedit.msc 「,在出現的視窗的左邊部分,選項
」電腦設定「(Computer Configuration )-> 」管理範本「(Administrative
Templates)-> 」系統「(System),在右邊視窗雙按「Shutdown Event Tracker」
在出現的對話視窗中選項「禁止」(Disabled),點擊然後「確定」(OK)儲存後結束這樣,你將看到類似於Windows
2000的關機視窗
17、一般連接阜的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[衝擊波]
垗DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP
Agent
恞鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080,那麼,我們只運 行本地機使用4000這幾個連接阜就行了
附:1 連接阜基礎知識大全(絕對好帖,加精吧!)
連接阜分為3大類
1) 公認連接阜(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些連接阜的通訊明確表明了某種服
務的傳輸協定。例如:80連接阜實際上總是h++p通訊。
2) 註冊連接阜(Registered Ports):從1024到49151。它們鬆散地綁定於一些服
務。也就是說有許多服務綁定於這些連接阜,這些連接阜同樣用於許多其它目的。例如: 許多系統處理動態連接阜從1024左右開始。
3) 動態和/或私有連接阜(Dynamic and/or Private Ports):從49152到65535。
理論上,不應為服務分配這些連接阜。實際上,機器通常從1024起分配動態連接阜。但也 有例外:SUN的RPC連接阜從32768開始。
本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。
記住:並不存在所謂 ICMP連接阜。如果你對解讀ICMP資料感興趣,請參看本文的其它部分。
0 通常用於分析* 作系統。這一方*能夠工作是因為在一些系統中「0」是無效連接阜,當你試 圖使用一
種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄:使用IP位址為 0.0.0.0,設定ACK位並在乙太網層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機
器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris
機器在發怖時含有幾個預設的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag,
EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記移除這些帳戶。因此Hacker們在Internet上搜尋 tcpmux 並利用這些帳戶。
7Echo你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0和x.x.x.255的信
息。一般的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器傳送到另
一個UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。(參見 Chargen)
另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做 Resonate Global
Dispatch」,它與DNS的這一連接阜連接以確定最近的路 由。Harvest/squid
cache將從3130連接阜傳送UDPecho:「如果將cache的 source_ping on選項開啟,它將對原始主機的UDP
echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。
11 sysstat這是一種UNIX服務,它會列出電腦上所有正在執行的工作以及是什麼啟動
了這些工作。這為入侵者提供了許多訊息而威脅機器的安全,如暴露已知某些弱點或
帳戶的程序。這與UNIX系統中「ps」指令的結果相似再說一遍:ICMP沒有連接阜,ICMP port 11通常是ICMPtype=1119
chargen 這是一種僅僅傳送字串的服務。UDP版本將 會在收到UDP包後回應含有LJ字串的包。TCP連
接時,會傳送含有LJ字串的資料流知道連接關閉。Hacker利用IP欺騙可以發動DoS 攻擊偽造兩
個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限
的往返資料通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標
位址的這個連接阜廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過 載。
21 ftp最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方*。這些伺服器
帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序)
和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。
22 sshPcAnywhere建立TCP和這一連接阜的連接可能是為了尋找ssh。這一服務有許多弱
點。如果組態成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端
口執行ssh)還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。
它會掃瞄整個域的ssh主機。你有時會被使用這一程序的人無意中掃瞄到。UDP(而不
是TCP)與另一端的5632連接阜相連意味著存在搜尋pcAnywhere的掃瞄。5632 (十六進
制的0x1600)位交換後是0x0016(使進制的22)。
23 Telnet入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃瞄這一連接阜是
為了找到機器執行的*作系統。此外使用其它技術,入侵者會找到密碼。
#2
25 smtp攻擊者(spammer)尋找SMTP伺服器是為了傳送他們的spam。入侵者的帳戶總
被關閉,他們需要撥號連線到高帶寬的e-mail伺服器上,將簡單的訊息傳送到不同的
位址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方*之一,因為它們必須
完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。
53 DNSHacker或crackers可能是試圖進行區域傳送(TCP),欺騙DNS(UDP)或隱藏
其它通訊。因此防火牆常常過濾或記錄53連接阜。 需要注意的是你常會看到53連接阜做為
UDP源連接阜。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker 常使用這種方*穿透防火牆。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看
見大量傳送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個
位址分配。Hacker常進入它們分配一個位址把自己作為局部路由器而發起大量的「中
間人」(man-in-middle)攻擊。客戶端向68連接阜(bootps)廣播請求組態,伺服器
向67連接阜(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發 送的IP位址。69 TFTP(UDP)
許多伺服器與bootp一起提供這項服務,便於從系統下載 啟動程式碼。但是它們常常錯誤組態而從系統提供任何文件,如密碼文件。它們也可用
於向系統寫入文件
79 finger Hacker用於獲得用戶訊息,查詢*作系統,探測已知的緩衝區溢位錯誤, 回應從自己機器到其它機器finger掃瞄。
98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p伺服器在98端
口提供關於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任
區域網路,在/tmp下建立Internet可訪問的文件,LANG環境變數有緩衝區溢位。 此外
因為它包含整合的伺服器,許多典型的h++p漏洞可
能存在(緩衝區溢位,歷遍目錄等)109 POP2並不像POP3那樣有名,但許多伺服器同
時提供兩種服務(向後相容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。
110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用
戶名和密碼交換緩衝區溢位的弱點至少有20個(這意味著Hacker可以在真正登入繼續 入系統)。成功登入後還有其它緩衝區溢位錯誤。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是
掃瞄系統檢視允許哪些RPC服務的最早的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd,
rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提 供 服務的特定連接阜測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程序訪問以便發現到底發生 了什麼。
113 Ident auth .這是一個許多電腦上執行的傳輸協定,用於鑒別TCP連接的用戶。使用
標準的這種服務可以獲得許多機器的訊息(會被Hacker利用)。但是它可作為許多服 務的記錄器,尤其是FTP, POP, IMAP,
SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務,你將會看到許多這個連接阜的連接請求。記住,如果你阻斷這個
連接阜客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在
TCP連接的阻斷程序中發回T,著將回停止這一緩慢的連接。
119 NNTP news新聞組傳輸傳輸協定,承載USENET通訊。當你連接到諸 如:news
.security.firewalls/.
的位址時通常使用這個連接阜。這個連接阜的連接 企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新
聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或傳送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE RPC end-
point mapper為它的DCOM服務。這與UNIX 111連接阜的功能很相似。使用DCOM和/或 RPC的服務利用
電腦上的end-point mapper註冊它們的位置。遠
端客戶連線到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄
機器的這個連接阜是為了找到諸如:這個電腦上運 行Exchange Server嗎?是什麼版 本?
這個連接阜除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些 DoS攻 擊直接針對這個連接阜。
137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最一般的訊息,請仔
細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
通過這個連接阜進入的連接試圖獲得NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件
和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。 大
量針對這一連接阜始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5
VisualBasicScripting)開始將它們自己拷貝到這個連接阜,試圖在這個連接阜繁殖。
143 IMAP和上面POP3的安全問題一樣,許多IMAP伺服器有緩衝區溢位漏洞執行登入過
程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個連接阜繁殖,因此許多這個端
口的掃瞄來自不知情的已被感染的用戶。當RadHat在他們的Linux發怖版本中預設允
許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一連接阜還被用於IMAP2,但並不流行。
已有一些報導發現有些0到143連接阜的攻擊源 於指令碼。
161 SNMP(UDP)入侵者常探測的連接阜。SNMP允許遠端管理設備。所有組態和執行訊息
都儲存在資料庫中,通過SNMP客獲得這些訊息。許多管理員錯誤組態將它們暴露於
Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們 可能會試驗所有可能的組合。
SNMP包可能會被錯誤的指向你的網路。Windows機器常 會因為錯誤組態將HP JetDirect rmote
management軟體使用SNMP。HP OBJECT
IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem,
DSL)查詢sysName和其它信
息。
162 SNMP trap 可能是由於錯誤組態
177 xdmcp 許多Hacker通過它訪問X-Windows控制台,它同時需要開啟6000連接阜。
513 rwho 可能是從使用cable modem或DSL登入到的子網中的UNIX機器發出的廣播。
這些人為Hacker進入他們的系統提供了很有趣的訊息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個連接阜
的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利 用這些訊息進入系統。
600 Pcserver backdoor 請檢視1524連接阜一些玩script的孩
子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃瞄的一個流行的Bug。大多數對這個端
口的掃瞄是關於UDP的,但關於TCP 的mountd有所增加(mountd同時執行於兩個端
口)。記住,mountd可執行於任何連接阜(到底在哪個連接阜,需要在連接阜111做portmap
查詢),只是Linux預設為635連接阜,就像NFS通常執行於2049