史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   資訊系統安全備援防護技術文件 (http://forum.slime.com.tw/f139.html)
-   -   關閉連接阜詳解--防黑必備 (http://forum.slime.com.tw/thread173314.html)

psac 2006-04-29 01:00 AM

關閉連接阜詳解--防黑必備
 
關閉連接阜詳解--防黑必備

我相信有很多人都不知道自己開了什麼連接阜.更加不知道怎麼關閉連接阜.
你可以用檢視連接阜的軟體檢視.
也可以通過在執行裡輸入"cmd"
在彈出的cmd指令行裡輸入
netstat -an 來檢視自己開放連接阜.ip位址的後面的就是連接阜號.
以下是我自己寫的一篇關於關閉連接阜的詳細步驟和多種方法
有很多人問我如何關閉連接阜,所以我(流雲)整理了一下關於關閉連接阜的資料,並給大家寫這篇文章介紹關於關閉連接阜的多種方法(包括系統的方法:修改註冊表和關閉服務;通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜由於入侵的基礎就在於連接阜,所以關閉掉可能會被入侵的連接阜,這樣你的電腦的安全悉數就提高了.這裡先介紹一下,關於入侵最多的幾個連接阜的系統關閉方法.

1.系統關閉方法:

(1)21連接阜:
連接阜說明: ftp 最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方法。
這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器
作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜尋引擎分
類)的節點。

關閉方法:控制台--系統管理工具--服務
關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務
的管理單元提供 FTP 連接和管理。

(2)23連接阜
連接阜說明:Telnet 入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃
描這一連接阜是為了找到機器執行的作業系統。此外使用其它技術,入
侵者會找到密碼。

關閉方法:控制台--系統管理工具--服務
關閉Telnet服務,它允許遠端用戶登入到系統並且使用指令行執行控
制台程序。

(3)25連接阜
連接阜說明:smtp 攻擊者(spammer)尋找SMTP伺服器是為了傳送他們的spam。
入侵者的帳戶總被關閉,他們需要撥號連線到高帶寬的e-mail伺服器
上,將簡單的訊息傳送到不同的位址。SMTP伺服器(尤其是sendmail)
是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且
郵件的路由是複雜的(暴露+複雜=弱點)。

關閉方法:控制台--系統管理工具--服務
關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是
跨網傳送電子郵件.

(4)80連接阜
連接阜說明:80連接阜是為HTTP(HyperText Transport Protocol,超文本傳輸協
議)開放的,這是上網衝浪使用最多的傳輸協定,主要用於在WWW
(World Wide Web,全球資訊網)服務上傳輸訊息的傳輸協定。
 
關閉方法:控制台--系統管理工具--服務
關掉WWW服務。在「服務」中顯示名稱為"World Wide Web
Publishing Service",通過Internet 訊息服務的管理單元提供 Web
連接和管理。

(5)135連接阜
連接阜說明c-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE
RPC end-point mapper為它的DCOM服務。這與UNIX 111 連接阜的功
能很相似。使用DCOM和/或RPC的服務利用電腦上的end-point mapper
註冊它們的位置。遠端客戶連線到機器時,它們查詢end-point
mapper找到服務的位置。同樣Hacker掃瞄機器的這個連接阜是為了找到
諸如:這個電腦上執行ExchangeServer嗎?是什麼版本?

關閉方法:用一款16為編輯軟體(推薦UltraEdit)開啟你系統
winnt\system32 或者 x:\windows\system32下的rpcss.dll文件。
搜尋31 00 33 00 35
取代為30 00 30 00 30
搜尋3100330035,將其取代為3000300030,意思就是將135連接阜
改為000。至此修改的工作已經完成,下面將面臨一個儲存的問題。
因為該檔案正在執行,在Windows環境下是不能覆蓋的。如果你是
FAT32文件系統,那麼直接啟始進DOS環境,將修改好的文件覆蓋掉
原來的文件。
如果是NTFS格式,相對就麻煩一些。進安全模式。然後啟動pulist列
出工作,然後用pskill這個程序(黑客網站有下的)殺掉svchost.exe
程序。然後在COPY過去。
覆蓋後重新啟動,使用netstat -an指令,可以看到Windows 2000下
已經沒有135連接阜了。XP系統還有TCP的135,但是UDP裡面已經沒有
135連接阜了。
(如果看不懂以上的方法,我幫大家找了一個有圖片的關閉方法
http://www.pcpop.com/hard/03/8/26909.shtml)

135連接阜的詳細關閉方法:
http://www.shengfang.org/blog/p/block135port.php

(6)139連接阜
連接阜說明: File and Print Sharing 通過這個連接阜進入的連接試圖獲
NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件和列印機共享」
和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。
Ipc$就是要依賴這個連接阜的.
關於此連接阜的指令詳解和入侵技巧請參照我發的帖子
http://www.fskybase.com/bbs/viewthre...tid=18&fpage=1

關閉方法:139連接阜可以通過禁止NBT來遮閉
本機連接-TCP/IT內容-進階-WINS-選『禁用TCP/IT上的NETBIOS』
一項

(7)445連接阜:
連接阜說明: 445連接阜是般是訊息流通資料的連接阜,一般黑客都是通過這個連接阜對你
的電腦或木馬的控制,windows2000以後的版本都會自動開啟這個
連接阜。一般流行性病毒,如衝擊波,震盪婆,災飛都是從這個連接阜對
電腦開始攻擊!

關閉方法:445連接阜可以通過修改註冊表來遮閉
增加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
類型: 0
修改完後重新啟動機器
 
(8)3389連接阜
連接阜說明: 3389又稱Terminal Service,服務終端。在WindowsNT中最先開始使
用的一種終端,在Win2K的Professional版本中不可以安裝,在Server
或以上版本才可以安裝這個服務,其服務連接阜為3389。由於使用簡
單,方便等特點,一直受系統管理員的青昧。也正式因為他的簡便,
不產生交互式登入,可以在後台操作,因此也受到了黑客朋友的喜
愛,事實可以說明,現在大多數朋友在入侵之後,都想開啟windows
終端服務,甚至不惜重新啟動對方的電腦,也要把終端服務安裝上,由
此可見他的普遍性。另,在在XP系統中又叫做「遠端桌面」。

關閉方法:首先說明3389連接阜是windows的遠端管理終端所開的連接阜,它並不是
一個木馬程序,請先確定該服務是否是你自己開放的。如果不是必須
的,請關閉該服務。

win2000關閉的方法:
win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項,
選內容選項將啟動檔案類型改成手動,並停止該服務。
win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services
服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。
winxp關閉的方法:
在我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。

(9)4489連接阜
連接阜說明: 首先說明4899連接阜是一個遠端控制軟體(remote administrator)服務
端監聽的連接阜,他不能 算是一個木馬程序,但是具有遠端控制功能,
通常殺毒軟體是無法查出它來的,請先確定該服務是否是你自己開放
並且是必需的。如果不是請關閉它。

關閉方法:請在開始-->執行中輸入cmd(98以下為command),然後cd
C:\winnt\system32(你的系統安裝目錄),輸入r_server.exe /stop
後按Enter鍵然後在輸入r_server /uninstall /silence 到C:\winnt\system32
(系統目錄)下移除r_server.exe admdll.dll radbrv.dll三個文件

(10)預設共享:
很多人根本就還不知道有預設共享這麼一回事,其實系統一裝好都是開啟預設共享的.把c,d預設共享為c$,d$.其實這個是相當危險的,這個就相當於開著門讓黑課進來.可以通過很多種方法入侵.其中以ipc$最為著名.所以一定關閉它.關閉的方法有很多種.

連接阜說明:這是在安裝伺服器的時候,把系統安裝分區自動進行共享,雖然對其訪
問還需要超級用戶的密碼,但這是潛在的安全隱患,從伺服器的安全考
慮,最好關閉這個「預設共享」,以保證系統安全。

關閉方法:關於預設共享的關閉方法有很多種方法.我這裡根據自己所知的,歸納
了4種最常用的方法.
1.DOS下移除共享
按下「開始/執行」,在執行視窗中輸入「cmd」(98則是command),開啟cmd指令行.用net share 指令檢視自己是否開了預設共享和ipc$,所有的共享訊息都可以在裡面顯示.選項你要的移除的共享.用net share xx /delete(此處的xx表示你要移除的共享文件)例如:net share c$ /delete 表示移除c碟的預設共享(根據我的經驗net share c:\ /delete 其實也是一樣移除c碟的預設共享的).
2.磁碟代號內容
確定你要移除的磁碟代號,按下滑鼠右鍵選項共用和安全的選項.在彈出的視窗中選項不共享此資料夾.然後點確定.這樣就關閉了共享(包括預設共享).
3.控制台中移除
控制台—系統管理工具—電腦管理—共用資料夾—共享
關閉裡面的預設共享(包括admin$的移除)
4. 修改註冊表
按下「開始/執行」,在執行視窗中輸入「Regedit」,開啟註冊表編輯器,展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters」,在右側視窗中新增一個名為「AutoShareWks」的雙字元值,將其值設定為0,(win2000 專業版 win xp);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters]"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)這樣就可以徹底關閉「預設共享」。
 





以上幾個連接阜都是最常入侵的連接阜,也是最適合一般用戶的電腦.至於其他特定軟體所開放的連接阜可以根據通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜的方法來關閉連接阜.以下介紹一下通過新增 IP 安全原則來遮閉連接阜的方法的方法來關閉連接阜,由於增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜的方法和過新增 IP 安全原則來遮閉連接阜的方法差不多,所以就不重複講了.這裡就先介紹一下新增 IP 安全原則來遮閉連接阜的方法.

2.新增 IP 安全原則來遮閉連接阜:
關閉的連接阜有,135,137,138,139,445,1025,2475,3127,6129,3389,593,還有tcp.
具體操作如下:
預設情況下,Windows有很多連接阜是開放的,在你上網的時候,網路病毒和黑客可以通過這些連接阜連上你的電腦。為了讓你的系統變為銅牆鐵壁,應該封閉這些連接阜,主要有:TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜,一些流行病毒的後門連接阜(如 TCP 2745、3127、6129 連接阜),以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜:

  第一步,點擊「開始」表單/設定/控制台/系統管理工具,雙按開啟「本機安全原則」,選「IP 安全原則,在本機電腦」,在右邊視窗的空白位置右擊滑鼠,彈出快捷表單,選項「新增 IP 安全原則」(如右圖),於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕,為新的安全原則命名;再按「下一步」,則顯示「安全通信請求」畫面,在畫面上把「啟動預設相應規則」左邊的鉤去掉,點擊「完成」按鈕就新增了一個新的IP 安全原則。

  第二步,右擊該IP安全原則,在「內容」對話視窗中,把「使用增加嚮導」左邊的鉤去掉,然後按下「增加」按鈕增加新的規則,
隨後彈出「新規則內容」對話視窗,在畫面上點擊「增加」按鈕,彈出IP篩選器列表視窗;在列表中,首先把「使用增加嚮導」
左邊的鉤去掉,然後再點擊右邊的「增加」按鈕增加新的篩選器。

  第三步,進入「篩選器內容」對話視窗,首先看到的是尋址,源位址選「任何 IP 位址」,目標位址選「我的 IP 位址」;
點擊「傳輸協定」選擇項,在「選項傳輸協定檔案類型」的下拉列表中選項「TCP」,然後在「到此連接阜」下的文本項中輸入「135」,點擊
「確定」按鈕(如左圖),這樣就增加了一個遮閉 TCP 135(RPC)連接阜的篩選器,它可以防止外界通過135連接阜連上你的電腦 。
  點擊「確定」後回到篩選器列表的對話視窗,可以看到已經增加了一條原則,重複以上步驟繼續增加 TCP 137、139、445、593
連接阜和 UDP 135、139、445 連接阜,為它們建立相應的篩選器。
  重複以上步驟增加TCP 1025、2745、3127、6129、3389 連接阜的遮閉原則,建立好上述連接阜的篩選器,最後點擊「確定」按鈕。

  第四步,在「新規則內容」對話視窗中,選項「新 IP 篩選器列表」,然後點擊其左邊的圓圈上加一個點,表示已經啟動,
最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中,把「使用增加嚮導」左邊的鉤去掉,點擊「增加」按鈕,增加
「阻止」操作(右圖):在「新篩選器操作內容」的「安全措施」選擇項中,選項「阻止」,然後點擊「確定」按鈕。

  第五步、進入「新規則內容」對話視窗,點擊「新篩選器操作」,其左邊的圓圈會加了一個點,表示已經啟動,點擊「關閉」按鈕,關閉對話視窗;最後回到「新IP安全原則內容」對話視窗,在「新的IP篩選器列表」左邊打鉤,按「確定」按鈕關閉對話視窗。
 
在「本機安全原則」視窗,用滑鼠右擊新增加的 IP 安全原則,然後選項「指派」。
  於是重新啟動後,電腦中上述網路連接阜就被關閉了,病毒和黑客再
也不能連上這些連接阜,從而保護了你的電腦。

本人建議:如果你要關閉的連接阜是比較一般的入侵連接阜的話,我建議你採用系統的關閉方法.這樣更加直接和有效.而一般的連接阜的話,你不想開可以採用ip安全原則或者防火牆或者TCP\IP篩選來關閉.將來你想開這個連接阜或者軟體需要用的時候,只要去掉規則就可以了.這裡還有提醒大家一點,連接阜從1024開始到65535都是應用程式所開啟的連接阜(當然也包括木馬和病毒).除非你很確定這個連接阜是木馬或者病毒或者是沒用途的連接阜,不然不建議關閉.不然會出現很多問題.
以下是電腦連接阜基礎知識
連接阜可分為3大類:
1) 公認連接阜(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常這些連接阜的通訊明確表明了某種服務的傳輸協定。例如:80連接阜實際上總是HTTP通訊。

2) 註冊連接阜(Registered Ports):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接阜,這些連接阜同樣用於許多其它目的。例如:許多系統處理動態連接阜從1024左右開始。

3) 動態和/或私有連接阜(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些連接阜。實際上,機器通常從1024起分配動態連接阜。但也有例外:SUN的RPC連接阜從32768開始。


所有時間均為台北時間。現在的時間是 04:32 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1