史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-04-17, 04:38 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 惡意程式碼十三大症狀及簡單修復方法

惡意程式碼十三大症狀及簡單修復方法

(一).預設值主頁被修改
  1.破壞特性:預設值主頁被自動改為某網站的網址。

  2.表現形式:瀏覽器的預設值主頁被自動設為如********.COM的網址。

  3.清除方法:採用手動修改註冊表法,開始選單->執行->regedit->確定,開啟註冊表編輯工具,按順序依次開啟:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL鍵值名(用來設定預設值主頁),在右視窗點擊右鍵進行修改即可。按F5鍵重新整理生效。

  危害程度:一般

  (二).預設值首頁被修改

  1.破壞特性:預設值首頁被自動改為某網站的網址。

  2.表現形式:瀏覽器的預設值主頁被自動設為如********.COM的網址。

  3.清除方法:採用手動修改註冊表法,開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage鍵值名(用來設定預設值首頁),在右視窗點擊右鍵進行修改即可。按F5鍵重新整理生效。

  危害程度:一般

  (三).預設值的微軟主頁被修改

  1.破壞特性:預設值微軟主頁被自動改為某網站的網址。

  2.表現形式:預設值微軟主頁被篡改。

  3.清除方法:

  (1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL鍵值名(用來設定預設值微軟主頁),在右視窗點擊右鍵,將鍵值修改為 www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5鍵重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]  "default_page_url"="www.microsoft.com/windows/ie_intl/cn/start/"

  危害程度:一般

  (四).主頁設定被遮閉鎖定,且設定選項無效不可更改

  1.破壞特性:主頁設定被禁用。

  2.表現形式:主頁位址欄變灰色被遮閉。

  3.清除方法:

  (1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新增「ControlPanel」主鍵,然後在此主鍵下新增鍵值名為「HomePage」的DWORD值,值為「00000000」,按F5鍵重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容輸入或貼上複製到記事本內,以副檔名為reg的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]  "HomePage"=dword:00000000

  危害程度:輕度

  (五).預設值的IE搜尋引擎被修改

  1.破壞特性:將IE的預設值微軟搜尋引擎更改。

  2.表現形式:搜尋引擎被篡改。

  3.清除方法:

  (1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,第一,按如下順序依次開啟:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到「SearchAssistant」鍵值名,在右面視窗點擊「修改」,即可對其鍵值進行輸入為: ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,然後再找到「CustomizeSearch」鍵值名,將其鍵值修改為: ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ,按F5鍵重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容輸入或貼上複製到記事本內,以副檔名為reg的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]  "SearchAssistant"="ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"  "CustomizeSearch"="ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"

  危害程度:一般

  (六).IE標題欄被增加非法訊息

  1.破壞特性:通過修改註冊表,使IE標題欄被強行增加宣傳網站的廣告訊息。

  2.表現形式:在IE頂端藍色標題欄上多出了什麼「正點網,即使正點網! www.zhengdian.com "尾巴。

  3.清除方法:

  (1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,第一,按如下順序依次開啟:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到「Window Title」鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5重新整理。

  第二,按如下順序依次開啟:HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到「Window Title」鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容輸入或貼上複製到記事本內,以副檔名為reg的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Window Title"="Microsoft Internet Explorer"

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]"Window Title"="Microsoft Internet Explorer"

  危害程度:一般

  (七).OE標題欄被增加非法訊息破壞特性:

  破壞特性:通過修改註冊表,在微軟的整合電子郵件程式Microsoft Outlook頂端標題欄增加宣傳網站的廣告訊息br]

  表現形式:在頂端的Outlook Express藍色標題欄增加非法訊息。

  清除方法:(1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到WindowTitle以及Store Root鍵值名,將其鍵值均設為空。按F5鍵重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容輸入或貼上複製到記事本內,以副檔名為reg的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]"WindowTitle"="""Store Root"=""

  危害程度:一般

  (八).滑鼠右鍵表單被增加非法網站連接:

  1.破壞特性:通過修改註冊表,在滑鼠右鍵彈出表單裡被增加非法站點的連接。

  2.表現形式:增加「網址之家」等諸如此類的連接訊息。

  3.清除方法:(1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左邊視窗凡是屬於非法連接的主鍵一律移除,按F5鍵重新整理生效。

  4.危害程度:一般

  (九).滑鼠右鍵彈出表單功能被禁用失常:

  1.破壞特性:通過修改註冊表,滑鼠右鍵彈出表單功能在IE瀏覽器中被完全禁止。

  2.表現形式:在IE中點擊右鍵毫無反應。

  3.清除方法:

  (1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到「NoBrowserContextMenu」鍵值名,將其鍵值設為「00000000」,按F5鍵重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容輸入或貼上複製到記事本內,以副檔名為reg的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]  "NoBrowserContextMenu"=dword:00000000

  危害程度:輕度

  (十).IE我的最愛被強行增加非法網站的位址連接

  破壞特性:通過修改註冊表,強行在IE我的最愛內自動增加非法網站的連接訊息。

  表現形式:躲藏在我的最愛下。

  清除方法:請用手動直接清除,用滑鼠右鍵移動至該非法網站訊息上,點擊右鍵彈出表單,選項移除即可。

  危害程度:一般

  (十一).在IE工作列非法增加按鈕

  破壞特性:工作列處增加非法按鈕。

  表現形式:有按鈕圖示。

  清除方法:直接點擊滑鼠右鍵彈出表單,選項「移除」即可。

  危害程度:一般

  (十二).鎖定位址欄的下拉表單及其增加文字訊息

  破壞特性:通過修改註冊表,將位址欄的下拉表單鎖定變為灰色。

  表現形式:不僅使下拉表單消失,而且在其上覆蓋非法文字訊息。 

  清除方法:(1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,按如下順序依次開啟:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右邊視窗找到「LinksFolderName」鍵值名,將其鍵值設為「連接」,多餘的字元一律去掉,按F5鍵重新整理生效。

  危害程度:輕度

  (十三).IE表單「檢視」下的「源文件」項被禁用

  破壞特性:通過修改註冊表,將IE表單「檢視」下的「源文件」項鎖定變為灰色。

  表現形式:「源文件」項不可用。

  清除方法:

  (1)手動修改註冊表法:開始選單->執行->regedit->確定,開啟註冊表編輯工具,第一,按如下順序依次開啟:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"鍵值名,將其鍵值設為「00000000」,按F5鍵重新整理生效。

  按如下順序依次開啟:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"鍵值名,將其鍵值設為「00000000」,按F5鍵重新整理生效。

  (2)自動文件匯入註冊表法:請把以下內容輸入或貼上複製到記事本內,以副檔名為reg的任意檔案名存在C碟的任一目錄下,然後執行此文件,根據提示,一路驗證,即可顯示成功匯入註冊表。

  REGEDIT4

  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]  "NoViewSource"=dword:00000000

  [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]  "NoViewSource"=dword:00000000

  危害程度:輕度
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:41 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

個人電腦詳細的安全性設定方法

由於現在家用電腦所使用的作業系統多數為Win XP 和Win2000 pro(建議還在使用98的朋友換換系統,連微軟都放棄了的系統你還用它幹嘛?)所以後面我將主要講一下關於這兩個作業系統的安全防範。

  個人電腦一般的被入侵方式

  談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:

  (1) 被他人盜取密碼;

  (2) 系統被木馬攻擊;

  (3) 瀏覽網頁時被惡意的java scrpit程序攻擊;

  (4) QQ被攻擊或洩漏訊息;

  (5) 病毒感染;

  (6) 系統存在漏洞使他人攻擊自己。

  (7) 黑客的惡意攻擊。

  下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。


察看本機共享資源
移除共享

移除ipc$空連接
帳號密碼的安全原則

關閉自己的139連接阜
445連接阜的關閉

3389的關閉
4899的防範

一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾

禁用服務
本機原則

本機安全原則
用戶權限分配原則

終端服務組態
用戶和群組原則

防止rpc漏洞
自己動手DIY在本機原則的安全性選項

工具介紹
避免被惡意程式碼 木馬等病毒攻擊


  1.察看本機共享資源

  執行CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。

  2.移除共享(每次輸入一個)

  net share admin$ /delete
  net share c$ /delete
  net share d$ /delete(如果有e,f,……可以繼續移除)

  3.移除ipc$空連接

  在執行內輸入regedit,在註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。

  4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。

  關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
5.防止rpc漏洞

  開啟系統管理工具--服務--找到RPC(Remote Procedure Call (RPC) Locator)服務--將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。

  XP SP2和2000 pro sp4,均不存在該漏洞。

  6.445連接阜的關閉

  修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD檔案類型鍵值為 0這樣就ok了

  7.3389的關閉

  XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。

  Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。(該方法在XP同樣適用)

  使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。

  8.4899的防範

  網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。

  4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的。

  所以只要你的電腦做了基本的安全組態,黑客是很難通過4899來控制你的。

  9、禁用服務

  開啟控制台,進入系統管理工具--服務,關閉以下服務

  1.Alerter[通知選定的用戶和電腦管理警報]
  2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
  3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠端電腦無法訪問共享
  4.Distributed Link Tracking Server[適用區域網路分佈式連接? U倏突I朔?馷
  5.Human Interface Device Access[啟用對人體學接頭設備(HID)的通用輸入訪問]
  6.IMAPI CD-Burning COM Service[管理 CD 錄製]
  7.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容,洩露訊息]
  8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
  9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
  10.Messenger[警報]
  11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
  12.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
  13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
  14.Print Spooler[列印機服務,沒有列印機就禁止吧]
  15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠端協助]
  16.Remote Registry[使遠端電腦用戶修改本機註冊表]
  17.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
  18.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
  19.Special Administration Console Helper[允許管理員使用緊急管理服務遠端訪問指令行提示號]
  20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
  21.Telnet[允許遠端用戶登入到此電腦並執行程序]
  22.Terminal Services[允許用戶以交互方式連線到遠端電腦]
  23.Window s Image Acquisition (WIA)[照相服務,套用與數碼攝像機]

  如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:41 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

10、帳號密碼的安全原則

  首先禁用guest帳號,將系統內建的administrator帳號改名∼∼(改的越複雜越好,最好改成中文的),而且要設定一個密碼,最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧∼)

  如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登入下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入安全模式,將sam文件移除,從而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了。
  
  開啟系統管理工具.本機安全性設定.密碼原則

     1.密碼必須符合複雜要求性.啟用
     2.密碼最小值.我設定的是8
     3.密碼最長使用期限.我是預設值設定42天
     4.密碼最短使用期限0天
     5.強制密碼歷史 記住0個密碼
     6.用可還原的加密來儲存於密碼 禁用
  
  11、本機原則:

  這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動,還可以說明 我們將來追查黑客。

  (雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.稽核原則

     1.稽核原則更改 成功失敗
     2.稽核登入事件 成功失敗
     3.稽核對像訪問 失敗
     4.稽核跟蹤程序 無稽核
     5.稽核目錄服務訪問 失敗
     6.稽核特權使用 失敗
     7.稽核系統事件 成功失敗
     8.稽核帳戶登入時間 成功失敗
     9.稽核帳戶管理 成功失敗
     &nb sp;然後再到系統管理工具找到
     事件檢視器
     應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
     安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
     系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件

  12、本機安全原則:

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.安全性選項
    
     1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
     2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
     3.網路訪問.可匿名的共享 將後面的值移除
     4.網路訪問.可匿名的命名管道 將後面的值移除
     5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
     6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
     7.網路訪問.限制匿名訪問命名管道和共享
     8.帳戶.(前面已經詳細講過拉 )
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:42 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

13、用戶權限分配原則:

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.用戶權限分配
    
     1.從網路訪問電腦 裡面一般預設值有5個用戶,除Admin外我們移除4個,當然,等下我們還得建一個屬於自己的ID
     2.從遠端系統強制關機,Admin帳戶也移除,一個都不留    
     3.拒絕從網路訪問這台電腦 將ID移除
     4.從網路訪問此電腦,Admin也可移除,如果你不使用類似3389服務
     5.通過遠端強制關機。刪掉
附: 那我們現在就來看看Windows 2000的預設值權限設定到底是怎樣的。對於各個磁碟區的根目錄,預設值給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統磁碟區下有三個目錄比較特殊,系統預設值給了他們有限制的權限,這三個目錄是Documents and settings、Program files和Winnt。對於Documents and settings,預設值的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program files,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統磁碟區下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!


  14、終端服務組態

  開啟系統管理工具
  
  終端服務組態

    1.開啟後,點連接,右鍵,內容,遠端控制,點不允許遠端控制
    2.一般,加密等級,高,在使用標準Windows驗證上點√!
    3.網路卡,將最多連接數上設定為0
    4.進階,將裡面的權限也移除.[我沒設定]
    再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話

  15、用戶和群組原則

  開啟系統管理工具

  電腦管理.本機用戶和組.用戶;

    移除Support_388945a0用戶等等
    只留下你更改好名字的adminisrator權限  

  電腦管理.本機用戶和組.組
    
    組.我們就不分組了,每必要把
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:43 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

16、自己動手DIY在本機原則的安全性選項
    
    1)當登入時間用完時自動註銷用戶(本機) 防止黑客密碼滲透.
    2)登入螢幕上不顯示上次登入名(遠端)如果開放3389服務,別人登入時,就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
    3)對匿名連接的額外限制
    4)禁止按 alt+crtl +del(沒必要)
    5)允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
    6)只有本機登入用戶才能訪問cd-rom
    7)只有本機登入用戶才能訪問軟式磁碟機
    8)取消關機原因的提示
     A、開啟控制台視窗,雙按「電源選項」圖示,在隨後出現的電源內容視窗中,進入到「進階」標籤頁面;
     B、在該頁面的「電源按鈕」設定項處,將「在按下電腦電源按鈕時」設定為「關機」,按下「確定」按鈕,來結束設定框;
     C、以後需要關機時,可以直接按下電源按鍵,就能直接電腦關機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
    D4、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將「啟用休眠」選項選就可以了。
    9)禁止關機事件跟蹤
  開始「Start ->」執行「 Run ->輸入」gpedit.msc 「,在出現的視窗的左邊部分,選項 」電腦設定「(Computer Configuration )-> 」管理範本「(Administrative Templates)-> 」系統「(System),在右邊視窗雙按「Shutdown Event Tracker」 在出現的對話視窗中選項「禁止」(Disabled),點擊然後「確定」(OK)儲存後結束這樣,你將看到類似於Windows 2000的關機視窗

  17、一般連接阜的介紹
            
  TCP
21   FTP
22   SSH
23   TELNET
25   TCP SMTP
53   TCP DNS
80   HTTP
135  epmap
138  [衝擊波]
139  smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389   Terminal Services
4444[衝擊波]

彝DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent

藏鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080,那麼,我們只運 行本地機使用4000這幾個連接阜就行了
附:1 連接阜基礎知識大全(絕對好帖,加精吧!)

連接阜分為3大類
1) 公認連接阜(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些連接阜的通訊明確表明了某種服 務的傳輸協定。例如:80連接阜實際上總是h++p通訊。

2) 註冊連接阜(Registered Ports):從1024到49151。它們鬆散地綁定於一些服 務。也就是說有許多服務綁定於這些連接阜,這些連接阜同樣用於許多其它目的。例如: 許多系統處理動態連接阜從1024左右開始。

3) 動態和/或私有連接阜(Dynamic and/or Private Ports):從49152到65535。 理論上,不應為服務分配這些連接阜。實際上,機器通常從1024起分配動態連接阜。但也 有例外:SUN的RPC連接阜從32768開始。

本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。

記住:並不存在所謂 ICMP連接阜。如果你對解讀ICMP資料感興趣,請參看本文的其它部分。

0 通常用於分析* 作系統。這一方*能夠工作是因為在一些系統中「0」是無效連接阜,當你試 圖使用一 種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄:使用IP位址為 0.0.0.0,設定ACK位並在乙太網層廣播。

1 tcpmux這顯示有人在尋找SGIIrix機 器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris 機器在發佈時含有幾個預設的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記移除這些帳戶。因此Hacker們在Internet上搜尋 tcpmux 並利用這些帳戶。

7Echo你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0和x.x.x.255的信 息。一般的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器傳送到另 一個UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。(參見 Chargen) 另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做 Resonate Global Dispatch」,它與DNS的這一連接阜連接以確定最近的路 由。Harvest/squid cache將從3130連接阜傳送UDPecho:「如果將cache的 source_ping on選項開啟,它將對原始主機的UDP echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。

11 sysstat這是一種UNIX服務,它會列出電腦上所有正在執行的工作以及是什麼啟動 了這些工作。這為入侵者提供了許多訊息而威脅機器的安全,如暴露已知某些弱點或 帳戶的程序。這與UNIX系統中「ps」指令的結果相似再說一遍:ICMP沒有連接阜,ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅傳送字元的服務。UDP版本將 會在收到UDP包後回應含有垃圾字元的包。TCP連
接時,會傳送含有垃圾字元的資料流知道連接關閉。Hacker利用IP欺騙可以發動DoS 攻擊偽造兩 個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限 的往返資料通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標 位址的這個連接阜廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過 載。
21 ftp最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方*。這些伺服器 帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。

22 sshPcAnywhere建立TCP和這一連接阜的連接可能是為了尋找ssh。這一服務有許多弱 點。如果組態成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口執行ssh)還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。 它會掃瞄整個域的ssh主機。你有時會被使用這一程序的人無意中掃瞄到。UDP(而不 是TCP)與另一端的5632連接阜相連意味著存在搜尋pcAnywhere的掃瞄。5632 (十六進 制的0x1600)位交換後是0x0016(使進制的22)。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:44 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

23 Telnet入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃瞄這一連接阜是 為了找到機器執行的*作系統。此外使用其它技術,入侵者會找到密碼。
#2

25 smtp攻擊者(spammer)尋找SMTP伺服器是為了傳送他們的spam。入侵者的帳戶總 被關閉,他們需要撥號連線到高帶寬的e-mail伺服器上,將簡單的訊息傳送到不同的 位址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方*之一,因為它們必須 完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。

53 DNSHacker或crackers可能是試圖進行區域傳送(TCP),欺騙DNS(UDP)或隱藏 其它通訊。因此防火牆常常過濾或記錄53連接阜。 需要注意的是你常會看到53連接阜做為 UDP源連接阜。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker 常使用這種方*穿透防火牆。

67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看 見大量傳送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個 位址分配。Hacker常進入它們分配一個位址把自己作為局部路由器而發起大量的「中 間人」(man-in-middle)攻擊。客戶端向68連接阜(bootps)廣播請求組態,伺服器 向67連接阜(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發 送的IP位址。69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務,便於從系統下載 啟動程式碼。但是它們常常錯誤組態而從系統提供任何文件,如密碼文件。它們也可用 於向系統寫入文件

79 finger Hacker用於獲得用戶訊息,查詢*作系統,探測已知的緩衝區溢位錯誤, 回應從自己機器到其它機器finger掃瞄。

98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p伺服器在98端 口提供關於Web介面的服務。它已發現有許多安全問題。一些版本setuidroot,信任 區域網路,在/tmp下建立Internet可訪問的文件,LANG環境變數有緩衝區溢位。 此外 因為它包含整合的伺服器,許多典型的h++p漏洞可
能存在(緩衝區溢位,歷遍目錄等)109 POP2並不像POP3那樣有名,但許多伺服器同 時提供兩種服務(向後相容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用 戶名和密碼交換緩衝區溢位的弱點至少有20個(這意味著Hacker可以在真正登入繼續 入系統)。成功登入後還有其它緩衝區溢位錯誤。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃瞄系統檢視允許哪些RPC服務的最早的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提 供 服務的特定連接阜測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程序訪問以便發現到底發生 了什麼。

113 Ident auth .這是一個許多電腦上執行的傳輸協定,用於鑒別TCP連接的用戶。使用 標準的這種服務可以獲得許多機器的訊息(會被Hacker利用)。但是它可作為許多服 務的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務,你將會看到許多這個連接阜的連接請求。記住,如果你阻斷這個 連接阜客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在 TCP連接的阻斷程序中發回T,著將回停止這一緩慢的連接。

119 NNTP news新聞組傳輸傳輸協定,承載USENET通訊。當你連接到諸 如:news.security.firewalls/. 的位址時通常使用這個連接阜。這個連接阜的連接 企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新 聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或傳送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE RPC end- point mapper為它的DCOM服務。這與UNIX 111連接阜的功能很相似。使用DCOM和/或 RPC的服務利用 電腦上的end-point mapper註冊它們的位置。遠
端客戶連線到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄 機器的這個連接阜是為了找到諸如:這個電腦上運 行Exchange Server嗎?是什麼版 本? 這個連接阜除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些 DoS攻 擊直接針對這個連接阜。

137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最一般的訊息,請仔 細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
通過這個連接阜進入的連接試圖獲得NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件 和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。 大 量針對這一連接阜始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)開始將它們自己拷貝到這個連接阜,試圖在這個連接阜繁殖。

143 IMAP和上面POP3的安全問題一樣,許多IMAP伺服器有緩衝區溢位漏洞執行登入過 程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個連接阜繁殖,因此許多這個端 口的掃瞄來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中預設值允 許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一連接阜還被用於IMAP2,但並不流行。 已有一些報導發現有些0到143連接阜的攻擊源 於指令碼。

161 SNMP(UDP)入侵者常探測的連接阜。SNMP允許遠端管理設備。所有組態和執行訊息 都儲存在資料庫中,通過SNMP客獲得這些訊息。許多管理員錯誤組態將它們暴露於 Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們 可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網路。Windows機器常 會因為錯誤組態將HP JetDirect rmote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem, DSL)查詢sysName和其它信
息。



162 SNMP trap 可能是由於錯誤組態

177 xdmcp 許多Hacker通過它訪問X-Windows控制台,它同時需要開啟6000連接阜。

513 rwho 可能是從使用cable modem或DSL登入到的子網中的UNIX機器發出的廣播。 這些人為Hacker進入他們的系統提供了很有趣的訊息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個連接阜 的廣播。CORBA是一種物件導向的RPC(remote procedure call)系統。Hacker會利 用這些訊息進入系統。 600 Pcserver backdoor 請檢視1524連接阜一些玩script的孩 子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃瞄的一個流行的Bug。大多數對這個端 口的掃瞄是關於UDP的,但關於TCP 的mountd有所增加(mountd同時執行於兩個端 口)。記住,mountd可執行於任何連接阜(到底在哪個連接阜,需要在連接阜111做portmap 查詢),只是Linux預設值為635連接阜,就像NFS通常執行於2049

1024 許多人問這個 連接阜是幹什麼的。它是動態連接阜的開始。許多程序並不在乎用哪個連接阜連接網路,它 們請求*作系統為它們分配「下一個閒置連接阜」。關於這一點分配從連接阜1024開始。 這意味著第一個向系統請求分配動態連接阜的程序將被分配連接阜1024。為了驗證這一 點,你可以重啟機器,開啟Telnet,再開啟一個視窗執行「natstat -a」,你將會看 到Telnet被分配1024連接阜。請求的程序越多,動態連接阜也越多。*作系統分配的連接阜 將逐漸變大。再來一遍,當你瀏覽Web頁時用「netstat」檢視,每個Web頁需要一個 新連接阜。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
#3

1025 參見1024

1026參見1024

1080 SOCKS 這一傳輸協定以管道方式穿過防火牆,允許防火牆後面的許多人通過一個IP 位址訪問Internet。理論上它應該只
允許內部的通信向外達到Internet。但是由於錯誤的組態,它會允許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。或者簡單地回應位於Internet上的電腦,從而掩飾他們對你的直接 攻擊。
WinGate是一種一般的Windows個人防火牆,常會發生上述的錯誤組態。在加入IRC聊 天室時常會看到這種情況。

1114 SQL 系統本身很少掃瞄這個連接阜,但常常是sscan指令碼的一部分。

1243 Sub-7木馬(TCP)參見Subseven部分。

1524 ingreslock後門 許多攻擊指令碼將安裝一個後門Sh*ll 於這個連接阜(尤其是那些 針對Sun系統中Sendmail和RPC服務漏洞的指令碼,如statd,ttdbserver和cmsd)。如 果你剛剛安裝了你的防火牆就看到在這個連接阜上的連接企圖,很可能是上述原因。你 可以試試Telnet到你的電腦上的這個連接阜,看看它是否會給你一個Sh*ll 。連線到 600/pcserver也存在這個問題。

2049 NFS NFS程序常執行於這個連接阜。通常需要訪問portmapper查詢這個服務執行於 哪個連接阜,但是大部分情況是安裝後NFS杏謖飧齠絲塚?acker/Cracker因而可以閉開 portmapper直接測試這個連接阜。

3128 squid 這是Squid h++p代理伺服器的預設值連接阜。攻擊者掃瞄這個連接阜是為了搜 尋一個代理伺服器而匿名訪問Internet。你也會看到搜尋其它代理伺服器的連接阜:
000/8001/8080/8888。掃瞄這一連接阜的另一原因是:用戶正在進入聊天室。其它用戶 (或伺服器本身)也會檢驗這個連接阜以確定用戶的機器是否支持代理。請檢視5.3節。

5632 pcAnywere你會看到很多這個連接阜的掃瞄,這依賴於你所在的位置。當用戶開啟 pcAnywere時,它會自動掃瞄區域網路C類網以尋找可能得代理(譯者:指agent而不是 proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該檢視這種掃瞄的 源位址。一些搜尋pcAnywere的掃瞄常包含連接阜22的UDP資料包。參見撥號掃瞄。

6776 Sub-7 artifact 這個連接阜是從Sub-7主連接阜分離出來的用於傳送資料的連接阜。 例如當控制者通過電話線控制另一台機器,而被控機器掛斷時你將會看到這種情況。 因此當另一人以此IP撥入時,他們將會看到持續的,在這個連接阜的連接企圖。(譯 者:即看到防火牆報告這一連接阜的連接企圖時,並不表示你已被Sub-7控制。)

6970 RealAudio客戶將從伺服器的6970-7170的UDP連接阜接收音瀕資料流。這是由TCP7070 連接阜外向控制連接設定13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許 用戶在此連接阜開啟私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它 會「駐紮」在這一TCP連接阜等待回應。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶,從另一個聊天者手中「繼承」了IP位址這種情況就會發生:好像很多不同 的人在測試這一連接阜。這一傳輸協定使用「OPNG」作為其連接企圖的前四個字元。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:44 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

17027 Conducent這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟體。
Conducent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體 是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP位址本身將會 導致adbots持續在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名─ads.conducent.com,即IP位址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不 知NetAnts使用的Radiate是否也有這種現象)

27374 Sub-7木馬(TCP) 參見Subseven部分。

30100 NetSphere木馬(TCP) 通常這一連接阜的掃瞄是為了尋找中了NetSphere木馬。

31337 Back Orifice 「eliteHacker中31337讀做「elite」/ei』li:t/(譯者:* 語,譯為中堅力量,精華。即 3=E, 1=L, 7=T)。因此許多後門程序執行於這一端 口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最一般的掃瞄。 現在它的流行越來越少,其它的 木馬程序越來越流行。

31789 Hack-a-tack 這一連接阜的UDP通訊通常是由於"Hack-a-tack"遠端訪問木馬 (RAT,Remote Access Trojan)。這種木馬包含內裝的31790連接阜掃瞄器,因此任何 31789連接阜到317890連接阜的連 接意味著已經有這種入侵。(31789連接阜是控制連 接,317890連接阜是文件傳輸連接)

32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說:早期版本 的Solaris(2.5.1之前)將 portmapper置於這一範圍內,即使低連接阜被防火牆封閉 仍然允許Hacker/cracker訪問這一連接阜。 掃瞄這一範圍內的連接阜不是為了尋找 portmapper,就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute 如果你看到這一連接阜範圍內的UDP資料包(且只在此範圍 之內)則可能是由於traceroute。參見traceroute分。

41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html連接阜1~1024是保留端 口,所以它們幾乎不會是源連接阜。但有一些例外,例如來自NAT機器的連接。 常看見 緊接著1024的連接阜,它們是系統分配給那些並不在乎使用哪個連接阜連接的應用程式 的「動態連接阜」。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5連接阜意味著sscan指令碼
20/tcp 動態 FTP FTP伺服器傳送文件的連接阜
53 動態 FTP DNS從這個連接阜傳送UDP回應。你也可能看見源/目標連接阜的TCP連 接。
123 動態 S/NTP 簡單網路時間傳輸協定(S/NTP)伺服器執行的連接阜。它們也會傳送 到這個連接阜的廣播。

27910~27961/udp 動態 Quake Quake或Quake引擎驅動的遊戲在這一連接阜執行其 伺服器。因此來自這一連接阜範圍的UDP包或傳送至這一連接阜範圍的UDP包通常是遊戲。

61000以上 動態 FTP 61000以上的連接阜可能來自Linux NAT伺服器
#4

連接阜大全(中文翻譯)
1 tcpmux TCP Port Service Multiplexer  傳輸控制傳輸協定連接阜服務多路開關選項器
2 compressnet Management Utility     compressnet 管理實用程序
3 compressnet Compression Process    壓縮排程
5 rje Remote Job Entry          遠端作業登入
7 echo Echo               回顯
9 discard Discard            丟棄
11 systat Active Users          在線用戶
13 daytime Daytime            時間
17 qotd Quote of the Day         每日引用
18 msp Message Send Protocol       消息傳送傳輸協定
19 chargen Character Generator      字元發生器
20 ftp-data File Transfer [Default Data] 文件傳輸傳輸協定(預設值資料口) 
21 ftp File Transfer [Control]      文件傳輸傳輸協定(控制)
22 ssh SSH Remote Login Protocol     SSH遠端登入傳輸協定
23 telnet Telnet             終端模擬傳輸協定
24 ? any private mail system       預留給個人用郵件系統
25 smtp Simple Mail Transfer       簡單郵件傳送傳輸協定
27 nsw-fe NSW User System FE       NSW 用戶系統現場工程師
29 msg-icp MSG ICP            MSG ICP
31 msg-auth MSG Authentication      MSG驗證
33 dsp Display Support Protocol     顯示支持傳輸協定
35 ? any private printer server     預留給個人列印機服務
37 time Time               時間
38 rap Route Access Protocol       路由訪問傳輸協定
39 rlp Resource Location Protocol    資源定位傳輸協定
41 graphics Graphics           圖形
42 nameserver WINS Host Name Server   WINS 主機名服務
43 nicname Who Is            "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol     MPM(消息處理模組)標誌傳輸協定
45 mpm Message Processing Module [recv] 消息處理模組 
46 mpm-snd MPM [default send]      消息處理模組(預設值傳送口)
47 ni-ftp NI FTP             NI FTP
48 auditd Digital Audit Daemon      數碼音瀕後台服務 
49 tacacs Login Host Protocol (TACACS)  TACACS登入主機傳輸協定
50 re-mail-ck Remote Mail Checking Protocol 遠端郵件檢查傳輸協定
51 la-maint IMP Logical Address Maintenance IMP(接頭訊息處理機)邏輯位址維護
52 xns-time XNS Time Protocol      施樂網路服務系統時間傳輸協定  
53 domain Domain Name Server       網域名服務器
54 xns-ch XNS Clearinghouse       施樂網路服務系統票據交換
55 isi-gl ISI Graphics Language     ISI圖形語言
56 xns-auth XNS Authentication      施樂網路服務系統驗證
57 ? any private terminal access     預留個人用終端訪問
58 xns-mail XNS Mail           施樂網路服務系統郵件
59 ? any private file service      預留個人文件服務
60 ? Unassigned             未定義
61 ni-mail NI MAIL            NI郵件?
62 acas ACA Services           異步通訊橋接器服務
63 whois+ whois+              WHOIS+
64 covia Communications Integrator (CI) 通訊接頭 
65 tacacs-ds TACACS-Database Service   TACACS資料庫服務
66 sql*net Oracle SQL*NET        Oracle SQL*NET
67 bootps Bootstrap Protocol Server   啟始程序傳輸協定服務端
68 bootpc Bootstrap Protocol Client   啟始程序傳輸協定客戶端
69 tftp Trivial File Transfer      小型文件傳輸傳輸協定
70 gopher Gopher             訊息檢索傳輸協定
71 netrjs-1 Remote Job Service      遠端作業服務
72 netrjs-2 Remote Job Service      遠端作業服務
73 netrjs-3 Remote Job Service      遠端作業服務
74 netrjs-4 Remote Job Service      遠端作業服務
75 ? any private dial out service    預留給個人撥出服務
76 deos Distributed External Object Store 分佈式外部對像儲存於 
77 ? any private RJE service      預留給個人遠端作業輸入服務
78 vettcp vettcp             修正TCP?
79 finger Finger             FINGER(查詢遠端主機在線用戶等訊息)
80 http World Wide Web HTTP       全球訊息網超文本傳輸傳輸協定
81 hosts2-ns HOSTS2 Name Server     HOST2名稱服務
82 xfer XFER Utility           傳輸實用程序
83 mit-ml-dev MIT ML Device       模組化智能終端ML設備
84 ctf Common Trace Facility       公用追蹤設備
85 mit-ml-dev MIT ML Device       模組化智能終端ML設備
86 mfcobol Micro Focus Cobol       Micro Focus Cobol編程語言
87 ? any private terminal link      預留給個人終端連接
88 kerberos Kerberos           Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway    SU/MIT終端模擬網路閘道
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全內容標記圖 
91 mit-dov MIT Dover Spooler       MIT Dover假離線
92 npp Network Printing Protocol     網路列印傳輸協定
93 dcp Device Control Protocol      設備控制傳輸協定
94 objcall Tivoli Object Dispatcher   Tivoli對像調度
95 supdup SUPDUP            
96 dixie DIXIE Protocol Specification  DIXIE傳輸協定規範
97 swift-rvf Swift Remote Virtural File Protocol 快速遠端虛擬文件傳輸協定 
98 tacnews TAC News           TAC(東京大學自動電腦)新聞傳輸協定
99 metagram Metagram Relay       
100 newacct [unauthorized use] 
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-04-17, 04:46 PM   #8 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

18、另外介紹一下如何檢視本地機開啟的連接阜和tcp\ip連接阜的過濾

  開始--執行--cmd

  輸入指令netstat -a

  會看到例如(這是我的機器開放的連接阜)

Proto Local Address    Foreign Address    State
TCP  yf001:epmap     yf001:0       LISTE
TCP  yf001:1025(連接阜號)      yf001:0       LISTE
TCP  (用戶名)yf001:1035      yf001:0       LISTE
TCP  yf001:netbios-ssn   yf001:0       LISTE
UDP  yf001:1129      *:*
UDP  yf001:1183      *:*
UDP  yf001:1396      *:*
UDP  yf001:1464      *:*
UDP  yf001:1466      *:*
UDP  yf001:4000      *:*
UDP  yf001:4002      *:*
UDP  yf001:6000      *:*
UDP  yf001:6001      *:*
UDP  yf001:6002      *:*
UDP  yf001:6003      *:*
UDP  yf001:6004      *:*
UDP  yf001:6005      *:*
UDP  yf001:6006      *:*
UDP  yf001:6007      *:*
UDP  yf001:1030      *:*
UDP  yf001:1048      *:*
UDP  yf001:1144      *:*
UDP  yf001:1226      *:*
UDP  yf001:1390      *:*
UDP  yf001:netbios-ns   *:*
UDP  yf001:netbios-dgm   *:*
UDP  yf001:isakmp     *:*

  現在講講關於Windows的tcp/ip的過濾

  控制台--網路和撥號連接--本機連接--INTERNET傳輸協定(tcp/ip)--內容--進階---選項-tcp/ip篩選--內容!!

  然後增加需要的tcp 和UDP連接阜就可以了∼如果對連接阜不是很瞭解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、
(1)、移動「我的文件」

  進入檔案總管,右擊「我的文件」,選項「內容」,在「目標資料夾」選擇項中點「移動」按鈕,選項目標碟後按「確定」即可。在Windows 2003 中「我的文件」已難覓芳蹤,桌面、開始等處都看不到了,建議經常使用的朋友做個建立捷逕放到桌面上。
(2)、移動IE臨時文件
進入「開始→控制台→Internet 選項」,在「一般」選項「Internet 文件」欄中點「設定」按鈕,在彈出表單中點「移動資料夾」按鈕,選項目標資料夾後,點「確定」,在彈出對話視窗中選項「是」,系統會自動重新登入。點本機連接>進階>安全日誌,把日誌的目錄更改專門分配日誌的目錄,不建議是C:再重新分配日誌儲存於值的大小,我是設定了10000KB。
20、避免被惡意程式碼 木馬等病毒攻擊
  
  以上主要講怎樣防止黑客的惡意攻擊,下面講避免機器被惡意程式碼,木馬之類的病毒攻擊。

  其實方法很簡單,惡意程式碼的檔案類型及其對付方法:
1. 禁止使用電腦 礎M害程度:★★★★ 繚P染概率:**


現象描述:儘管網路流氓們用這一招的不多,但是一旦你中招了,後果真是不堪設想!瀏覽了含有這種惡意程式碼的網頁其後果是:"關閉系統"、"執行"、"註銷"、註冊表編輯器、DOS程序、執行任何程序被禁止,系統無法進入"真實模式"、驅動器被隱藏。


解決辦法:一般來說上述八大現象你都遇上了的話,基本上系統就給"廢"了,建議重裝。


2. 格式化硬碟 礎M害程度:★★★★★ 繚P染概率:*


現象描述:這類惡意程式碼的特徵就是利用IE執行ActiveX的功能,讓你無意中格式化自己的硬碟。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告說"現用的頁面含有不安全的ActiveX,可能會對你造成危害",問你是否執行。如果你選項"是"的話,硬碟就會被快速格式化,因為格式化時視窗是最小化的,你可能根本就沒注意,等發現時已悔之晚矣。


解決辦法:除非你知道自己是在做什麼,否則不要隨便回答"是"。該提示訊息還可以被修改,如改成"Windows正在移除本地機的臨時文件,是否繼續",所以千萬要注意!此外,將電腦上Format.com、Fdisk.exe、Del.exe、Deltree.exe等指令改名也是一個辦法。


3. 下載執行木馬程序 礎M害程度:★★★ 繚P染概率:***


現象描述:在網頁上瀏覽也會中木馬?當然,由於IE5.0本身的漏洞,使這樣的新式入侵手法成為可能,方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞,將木馬放在eml文件裡,然後用一段惡意程式碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了木馬並執行,其間居然沒有任何提示和警告!
解決辦法:第一個辦法是昇級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝金山毒霸、Norton等病毒防火牆,它會把網頁木馬當作病毒迅速查截殺。


4. 註冊表的鎖定 礎M害程度:★★ 繚P染概率:***


現象描述:有時瀏覽了惡意網頁後系統被修改,想要用Regedit更改時,卻發現系統提示你沒有權限執行該程序,然後讓你聯係管理員。暈了!動了我的東西還不讓改,這是哪門子的道理!


解決辦法:能夠修改註冊表的又不止Regedit一個,找一個註冊表編輯器,例如:Reghance。將註冊表中的HKEY_CURRENT_USER@Software@Microsoft@Windows@CurrentVersion@Policies@System下的DWORD值"DisableRegistryTools"鍵值恢復為"0",即可恢復註冊表。


5. 預設值主頁修改 礎M害程度:★★★ 繚P染概率:*****


現象描述:一些網站為了提高自己的訪問量和做廣告宣傳,利用IE的漏洞,將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和預設值主頁,為了不讓你改回去,甚至將IE選項中的預設值主頁按鈕變為失效的灰色。不愧是網路流氓的一慣做風。


解決辦法:1.起始頁的修改。展開註冊表到HKEY_LOCAL_MACHINE@Software@Microsoft@Internet Explorer@Main,在右半部分視窗中將"Start Page"的鍵值改為"about:blank"即可。同理,展開註冊表到HKEY_CURRENT_USER@Software@Microsoft@Internet Explorer@Main,在右半部分視窗中將"Start Page"的鍵值改為"about:blank"即可。 穠`意:有時進行了以上步驟後仍然沒有生效,估計是有程序載入到了啟動項的緣故,就算修改了,下次啟動時也會自動執行程序,將上述設定改回來,解決方法如下: 簞鶡瘚虪U表編輯器Regedit.exe,然後依次展開HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Run主鍵,然後將下面的"registry.exe"子鍵(名字不固定)移除,最後移除硬碟裡的同名可執行程序。結束註冊編輯器,重新啟動電腦,問題就解決了。


2.預設值主頁的修改。執行註冊表編輯器,展開HKEY_LOCAL_MACHINE@Software@Microsoft@Internet Explorer@Main@,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設定為IE的預設值。 3.IE選項按鈕失效。執行註冊表編輯器,將HKEY_CURRENT_USER@Software@Policies@Microsoft@Internet Explorer@Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0",將HKEY_USERS@.DEFAULT@Software@Policies@Microsoft@Internet Explorer@Control Panel下的DWORD值"homepage"的鍵值改為"0"。


6. 篡改IE標題欄 礎M害程度:★ 繚P染概率:*****


現象描述:在系統預設值狀態下,由應用程式本身來提供標題欄的訊息。但是,有些網路流氓為了達到廣告宣傳的目的,將串值"Windows Title"下的鍵值改為其網站名或更多的廣告訊息,從而達到改變IE標題欄的目的。非要別人看他的東西,而且是通過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。


解決辦法:展開註冊表到HKEY_LOCAL_MACHINE@Software@Microsoft@Internet Explorer@Main@下,在右半部分視窗找到串值"Windows Title",將該串值移除。重新啟動電腦。


7. 篡改預設值搜尋引擎 礎M害程度:★★★ 繚P染概率:*


現象描述:在IE瀏覽器的工作列中有一個搜尋引擎的工具按鈕,可以實現網路搜尋,被篡改後只要點擊那個搜尋工具按鈕就會連接到網路注氓想要你去的網站。


解決辦法:執行註冊表編輯器,依次展開HKEY_LOCAL_MACHINE@Software@Microsoft@Internet Explorer@Search@CustomizeSearch和HKEY_LOCAL_MACHINE@Software@Microsoft@Internet Explorer@Search@SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改為某個搜尋引擎的網址即可
8. IE右鍵修改 礎M害程度:★★ 繚P染概率:***


現象描述:有的網路流氓為了宣傳的目的,將你的右鍵彈出的功能表單進行了修改,並且加入了一些亂七八糟的東西,甚至為了禁止你下載,將IE視窗中按下右鍵的功能都遮閉掉。


解決辦法:1.右鍵表單被修改。開啟註冊表編輯器,找到HKEY_CURRENT_USER@Software@Microsoft@Internet Explorer@MenuExt,移除相關的廣告條文。 2.右鍵功能失效。開啟註冊表編輯器,展開到HKEY_CURRENT_USER@Software@Policies@Microsoft@Internet Explorer@Restrictions,將其DWORD值"NoBrowserContextMenu"的值改為0。


9. 篡改位址欄文字 礎M害程度:★★ 繚P染概率:***


現象描述:中招者的IE位址欄下方出現一些莫名其妙的文字和圖示,位址欄裡的下拉框裡也有大量的位址,並不是你以前訪問過的。


解決辦法:1.位址欄下的文字。在HKEY_CURRENT_USER@Software@Microsoft@Internet Explorer@ToolBar下找到鍵值LinksFolderName,將其中的內容刪去即可。 2.位址欄中無用的位址。在HKEY_CURRENT_USER@Software@Microsoft@Internet Explorer@TypeURLs中移除無用的鍵值即可。

  同時我們需要在系統中安裝殺毒軟體

  如 卡巴基斯,瑞星,McAfee等

  還有防止木馬的木馬剋星(可選)

  並且能夠及時更新你的病毒定義庫,定期給你的系統進行全面殺毒。殺毒務必在安全模式下進行,這樣才能有效清除電腦內的病毒以及駐停留在系統的非法文件。

  還有就是一定要給自己的系統及時的打上修正檔,安裝最新的昇級包。微軟的修正檔一般會在漏洞發現半個月後發佈,而且如果你使用的是中文版的作業系統,那麼至少要等一個月的時間才能下到修正檔,也就是說這一個月的時間內你的系統因為這個漏洞是很危險的。

  本人強烈建議個人用戶安裝使用防火牆(目前最有效的方式)

  例如:天網個人防火牆、諾頓防火牆、ZoneAlarm等等。

  因為防火牆具有資料過濾功能,可以有效的過濾掉惡意程式碼,和阻止DDOS攻擊等等。總之如今的防火牆功能強大,連漏洞掃瞄都有,所以你只要安裝防火牆就可以杜絕大多數網路攻擊,但是就算是裝防火牆也不要以為就萬事無憂。因為安全只是相對的,如果哪個邪派高手看上你的機器,防火牆也無濟於事。我們只能盡量提高我們的安全係數,盡量把損失減少到最小。如果還不放心也可以安裝密罐和IDS入侵檢測系統。而對於防火牆我個人認為關鍵是IP原則的正確使用,否則可能會勢的起反。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
向 psac 送花的會員:
yang1008142 (2008-02-15)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 12:03 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1