- 帖子
- 519
- 精华
- 0
- 积分
- 453
- 智慧
- 185
- V 币
- 353
- 贡献
- 0
- 金豆
- 585
- MV号码
- 554888
- 注册时间
- 2007-12-24
- 最后登录
- 2013-6-5
|
楼主
发表于 2008-2-2 14:39
| 只看该作者
MV最近遇到问题的解决办法-----如何防范蠕虫王的攻击,如何关闭多余的端口
最近好多MV朋友无故吊线,这是与MV聊天软件是没有关系的,今天去一个房间和聊友(★不.4y般de丑 ★)试了一下,她掉的一塌糊涂,由此看来对方是用IP和端口来利用蠕虫攻击工具来攻击的,鉴于此,今天写出来《关于MV最近遇到问题的解决办法-----如何防范蠕虫王的攻击,如何关闭多余的端口,防止攻击》文章,希望大家关闭自己的电脑后门。
113端口木马的清除(仅适用于windows系统):
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具下载
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如
rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等,根据
木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序)
6.重新启动机器。
3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先
确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
win2000关闭的方法:
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:
在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能
算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统
安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件
5800,5900端口:
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\
explorer.exe)
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新
运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer项。
5.重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是
一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的,如果不是请关闭。
关闭6129端口:
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后
停止该服务。
到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。
1029端口和20168端口:
这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见:Lovgate蠕虫:http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下载专杀工具:http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。
45576端口:
这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带
来额外的流量)
关闭代理软件:
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
3.到该程序所在目录下将该程序删除。
对于139端口攻击的防范针对不同系统的设置也有所不同,下面就来分别描述。
针对使用Windows 9x系统拨号上网用户,可以不必登录到NT局域网络环境,打开控制面板,然后双击“网络”图标,在“主网络登录”中选择“Microsoft友好登录”,不必选择“Windows网络用户”方式。此外,也不必设置“文件打印共享”
对于Windows NT用户,可以取消NetBIOS与TCP/IP协议的绑定,打开“控制面板”,然后双击“网络”图标,在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”,并重新启动计算机即可。
Windows 2000用户可以使用鼠标右键单击“网络邻居”图标,然后选择“属性”命令,打开“网络和拨号连接”对话框,用鼠标右键单击“本地连接”图标,然后执行“属性”命令,打开“本地连接属性”对话框。双击“Internet协议(TCP/IP)”,在打开的对话框中单击[高级]按钮。打开“高级TCP/IP设置”对话框,选择“选项”选项卡,在列表中单击选中“TCP/IP筛选”选项
单击[属性]按钮,在“只允许”单击[添加]按钮,填入除了139之外要用到的端口。
对于个人上网用户可以使用“天网防火墙”定制防火墙规则。启动“天网个人防火墙”,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了.了解139端口是为了更好地
经常不用的端口可以通过关闭139端口的方法来关闭
[ 本帖最后由 回到唐朝当皇帝 于 2009-2-4 01:06 编辑 ] |
|
网缘如冰一样,只因仰视,才折射出多彩的光芒;终将坠落,透析其所有的本性- |
|
发表于 2008-2-3 00:06
| 
