每一項服務都對應相應的埠,比如眾如周知的WWW服務的埠是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉埠也就是關閉無用的服務。 “控制面板”的“管理工具”中的“服務”中來配置。
1、關閉7.9等等埠:關閉Simple TCP/IP Service,支援以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service",通過 Internet 資訊服務的管理單元提供 Web 連接和管理。
3、關掉25埠:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21埠:關閉FTP Publishing Service,它提供的服務是通過 Internet 資訊服務的管理單元提供 FTP 連接和管理。
5、關掉23埠:關閉Telnet服務,它允許遠端用戶登錄到系統並且使用命令行運行控制臺程式。
6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支援、檔、列印以及具名管道共用。關掉它就關掉了win2k的默認共用,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139埠,139埠是NetBIOS Session埠,用來檔和列印共用,注意的是運行samba的unix機器也開放了139埠,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139埠開放既認為是NT機,現在好了。 關閉139口聽方法是在“網路和撥號連接”中“本地連接”中選取“Internet協定(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裏面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139埠。 對於個人用戶來說,可以在各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動,埠也開放了。
113埠木馬的清除(僅適用於windows系統):
這是一個基於irc聊天室控制的木馬程式。
1.首先使用netstat -an命令確定自己的系統上是否開放了113埠
2.使用fport命令察看出是哪個程式在監聽113埠
fport工具下載
例如我們用fport看到如下結果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我們就可以確定在監聽在113埠的木馬程式是vhos.exe而該程式所在的路徑為
c:\winnt\system32下。
3.確定了木馬程式名(就是監聽113埠的程式)後,在任務管理器中查找到該進程,
並使用管理器結束該進程。
4.在開始-運行中鍵入regedit運行註冊表管理程式,在註冊表裏查找剛才找到那個程式,
並將相關的鍵值全部刪掉。
5.到木馬程式所在的目錄下刪除該木馬程式。(通常木馬還會包括其他一些程式,如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根據
木馬程式不同,檔也有所不同,你可以通過察看程式的生成和修改的時間來確定與
監聽113埠的木馬程式有關的其他程式)
6.重新啟動機器。
3389埠的關閉:
首先說明3389埠是windows的遠端管理終端所開的埠,它並不是一個木馬程式,請先確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。
win2000關閉的方法:
win2000server 開始-->程式-->管理工具-->服務裏找到Terminal Services服務項,
選中屬性選項將啟動類型改成手動,並停止該服務。
win2000pro 開始-->設置-->控制面板-->管理工具-->服務裏找到Terminal Services
服務項,選中屬性選項將啟動類型改成手動,並停止該服務。
winxp關閉的方法:
在我的電腦上點右鍵選屬性-->遠端,將裏面的遠程協助和遠端桌面兩個選項框裏的勾去掉。
4899埠的關閉:
首先說明4899埠是一個遠端控制軟體(remote administrator)服務端監聽的埠,他不能算是一個木馬程式,但是具有遠端控制功能,通常殺毒軟體是無法查出它來的,請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。
關閉4899埠:
請在開始-->運行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統安裝目錄),輸入r_server.exe /stop後按回車。
然後在輸入r_server /uninstall /silence
到C:\winnt\system32(系統目錄)下刪除r_server.exe admdll.dll radbrv.dll三個文件
5800,5900埠:
1.首先使用fport命令確定出監聽在5800和5900埠的程式所在位置(通常會是c:\winnt\fonts\explorer.exe)
2.在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程式。
4.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer項。
5.重新啟動機器。
6129埠的關閉:
首先說明6129埠是一個遠端控制軟體(dameware nt utilities)服務端監聽得埠,他不是一個木馬程式,但是具有遠端控制功能,通常的殺毒軟體是無法查出它來的。請先確定該務是否是你自己安裝並且是必需的,如果不是請關閉。
關閉6129埠:
選擇開始-->設置-->控制面板-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項,將啟動類型改成禁用後停止該服務。
到c:\winnt\system32(系統目錄)下將DWRCS.EXE程式刪除。
到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。
1029埠和20168埠:
這兩個埠是lovgate蠕蟲所開放的後門埠。
蠕蟲相關資訊請參見:Lovgate蠕蟲:
http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下載專殺工具:
http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法:下載後直接運行,在該程式運行結束後重起機器後再運行一遍該程式。
45576埠:
這是一個代理軟體的控制埠,請先確定該代理軟體並非你自己安裝(代理軟體會給你的機器帶來額外的流量)
關閉代理軟體:
1.請先使用fport察看出該代理軟體所在的位置
2.在服務中關閉該服務(通常為SkSocks),將該服務關掉。
3.到該程式所在目錄下將該程式刪除。
Windows系統被安裝的遠端控制軟體或其他各種木馬通常是由於您沒有正確的設置您的管理員密碼造成的, 比如administrator的口令為空。所以請先檢查系統中所有帳號的口令是否設置的足夠安全。
1. Windows2000口令設置方法
當前用戶口令:
在桌面環境下按crtl+alt+del鍵後彈出選項單,選擇其中的更改密碼項後按要求輸入你的密碼(注意:如果以前administrator沒有設置密碼的話,舊密碼那項就不用輸入,只需直接輸入新的密碼)。
其他用戶口令:
在開始->控制面板->用戶和密碼->選定一個用戶名->點擊設置密碼
2. 如何關閉Windows 2000下的445埠?
關閉445埠的方法有很多,通常用修改註冊表的方法:
1) 在命令行視窗運行修改註冊表命令RegEdit。
2) 在彈出的註冊表編輯視窗的左邊找到下麵目錄
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
你可以一級一級目錄往下點擊,也可用“查找”命令找到NetBT項,然後點擊Parameters項。
3) 在編輯視窗的右邊空白處點擊滑鼠右鍵,出現的“新建”功能表中選擇“DWORD值”,如下圖所示:
4) 將新建的DWORD參數命名為“SMBDeviceEnabled”,數值為缺省的“0”。
5) 修改完後退出RegEdit,重啟機器。
6) 運行“netstat –an”,你將會發現你的445埠已經不再Listening了。
如何關閉Windows 2000下的5800,5900埠?
1) 首先使用fport命令確定出監聽在5800和5900埠的程式所在位置(通常會是c:\winnt\fonts\explorer.exe)
2) 在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:\winnt\explorer.exe)
3) 刪除C:\winnt\fonts\中的explorer.exe程式。
4) 刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer項。
5) 重新啟動機器。
4. 如何獲得fport工具?
Fport工具可以把本機開放的TCP/UDP埠同應用程式關聯起來,這和使用';netstat -an';命令產生的效果類似,但是該軟體還可以把埠和運行著的進程關聯起來,並可以顯示進程PID,名稱和路徑。該軟體可以用於將未知的埠同應用程式關聯起來。
在CERNET應急回應組的網站上可以獲得fport工具,下載路徑為:
http://www.ccert.edu.cn/tools/index.php。
下載的文件為fport.zip, 用winzip或winrar解開後存放到一個目錄下就可以。比如我們把fport放在D:\fport-2.0下。那麼,我們運行fport::
D:\fport-2.0> fport
輸出結果如下:
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
744 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
4 System -> 139 TCP
4 System -> 445 TCP
792 svchost -> 1025 TCP C:\WINDOWS\System32\svchost.exe
1652 navapw32 -> 1027 TCP C:\PROGRA~1\NORTON~1\navapw32.exe
1860 inetinfo -> 1031 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1880 msmsgs -> 1226 TCP C:\Program Files\Messenger\msmsgs.exe
2736 iexplore -> 2162 TCP C:\Program Files\Internet Explorer\iexplore.exe
956 -> 5000 TCP
1880 msmsgs -> 13863 TCP C:\Program Files\Messenger\msmsgs.exe
2736 iexplore -> 123 UDP C:\Program Files\Internet Explorer\iexplore.exe
744 svchost -> 135 UDP C:\WINDOWS\system32\svchost.exe
1332 SecureCRT -> 137 UDP C:\Program Files\SecureCRT\SecureCRT.exe
2664 SecureCRT -> 138 UDP C:\Program Files\SecureCRT\SecureCRT.exe
4 System -> 445 UDP
792 svchost -> 500 UDP C:\WINDOWS\System32\svchost.exe
2524 SecureCRT -> 1028 UDP C:\Program Files\SecureCRT\SecureCRT.EXE
1860 inetinfo -> 1032 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1880 msmsgs -> 1033 UDP C:\Program Files\Messenger\msmsgs.exe
2812 wsftppro -> 1035 UDP D:\tools\wsftppro.exe
956 -> 1543 UDP
1652 navapw32 -> 1561 UDP C:\PROGRA~1\NORTON~1\navapw32.exe
4 System -> 1610 UDP
1880 msmsgs -> 1900 UDP C:\Program Files\Messenger\msmsgs.exe
2736 iexplore -> 3336 UDP C:\Program Files\Internet Explorer\iexplore.exe
2812 wsftppro -> 3456 UDP D:\tools\wsftppro.exe
1880 msmsgs -> 9356 UDP C:\Program Files\Messenger\msmsgs.exe
默認情況下,Windows有很多埠是開放的,在你上網的時候,網路病毒和駭客可以通過這些埠連上你的電腦。為了讓你的系統變為銅牆鐵壁,應該封閉這些埠,主要有:TCP 135、139、445、593、1025 埠和 UDP 135、137、138、445 埠,一些流行病毒的後門埠(如 TCP 2745、3127、6129 埠),以及遠端服務訪問埠3389。下面介紹如何在WinXP/2000/2003下關閉這些網路埠:
第一步,點擊“開始”功能表/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地電腦”,在右邊窗格的空白位置右擊滑鼠,彈出快顯功能表,選擇“創建 IP 安全策略”(如右圖),於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“啟動默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話方塊中,把“使用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話方塊,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話方塊,首先看到的是定址,源位址選“任何 IP 位址”,目標位址選“我的 IP 位址”;點擊“協定”選項卡,在“選擇協定類型”的下拉清單中選擇“TCP”,然後在“到此埠”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了一個遮罩 TCP 135(RPC)埠的篩選器,它可以防止外界通過135埠連上你的電腦。
點擊“確定”後回到篩選器列表的對話方塊,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 埠和 UDP 135、139、445 埠,為它們建立相應的篩選器。
重複以上步驟添加TCP 1025、2745、3127、6129、3389 埠的遮罩策略,建立好上述埠的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話方塊中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加一個點,表示已經啟動,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步、進入“新規則屬性”對話方塊,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經啟動,點擊“關閉”按鈕,關閉對話方塊;最後回到“新IP安全策略屬性”對話方塊,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話方塊。在“本地安全策略”視窗,用滑鼠右擊新添加的 IP 安全策略,然後選擇“指派”。
於是重新啟動後,電腦中上述網路埠就被關閉了,病毒和駭客再也不能連上這些埠,從而保護了你的電腦。
