|
 | 作者: ddy328 [ddy328]
 论坛用户 |
登录 |
| 本帖由 [�z路] 从 << 菜鸟乐园>> 转移而来怎样知道我的计算机被入侵过,怎样防止端口被入侵,怎样看自己机子的漏洞这个问题可能对大家来说很简单但对我们这些外行来说…… 谢谢。 |
| 地主 发表时间: 08/06 15:35 |
 | 回复: tianyecool [tianyecool]  论坛用户 |
登录 |
|
晕,先看基础吧 |
| B1层 发表时间: 08/06 15:39 |
 | 回复: all528 [all528]  论坛用户 |
登录 |
|
先看一下基础教程 对新接触的朋友会有很大的帮助 |
| B2层 发表时间: 08/06 15:45 |
| 回复: ddy328 [ddy328] 论坛用户 |
登录 |
|
谢谢,不过哪里可以找到啊。 |
| B3层 发表时间: 08/06 15:55 |
| 回复: all528 [all528] 论坛用户 |
登录 |
|
呵呵 20cn这里就有很多的好例子 |
| B4层 发表时间: 08/06 15:56 |
| 回复: keke [keke1] 论坛用户 |
登录 |
|
20cn里有好多呢!http://www.20cn.net/ns/cn/ |
| B5层 发表时间: 08/06 17:27 |
 | 回复: justin [justin]  |
登录 |
|
这位仁兄,你知道哪里的教程写得比较完整,易懂的。介绍一下吧~! |
| B6层 发表时间: 08/06 20:54 |
 | 回复: yimarong [yimarong]  版主 |
登录 |
|
从水晶情缘的群借来得: 首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先 确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。 win2000关闭的方法: win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项, 选中属性选项将启动类型改成手动,并停止该服务。 win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项,选中属性选项将启动类型改成手动,并停止该服务。 winxp关闭的方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 3389端口的关闭: 首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先 确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。 win2000关闭的方法: win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项, 选中属性选项将启动类型改成手动,并停止该服务。 win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项,选中属性选项将启动类型改成手动,并停止该服务。 winxp关闭的方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4899端口的关闭: 首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能 算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭4899端口: 请在开始-->运行中输入cmd(98以下为command),然后cd C:winntsystem32(你的系统 安装目录),输入r_server.exe /stop后按回车。 然后在输入r_server /uninstall /silence 到C:winntsystem32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件 5800,5900端口: 1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:winntfonts explorer.exe) 2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新 运行c:winntexplorer.exe) 3.删除C:winntfonts中的explorer.exe程序。 4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的 Explorer项。 5.重新启动机器。 6129端口的关闭: 首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是 一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务 是否是你自己安装并且是必需的,如果不是请关闭。 关闭6129端口: 选择开始-->设置-->控制面板-->管理工具-->服务 找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后 停止该服务。 到c:winntsystem32(系统目录)下将DWRCS.EXE程序删除。 到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。 修改注册表,添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: SystemControlsetServicesNetBTParameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了 113端口木马的清除(仅适用于windows系统): 这是一个基于irc聊天室控制的木马程序。 1.首先使用netstat -an命令确定自己的系统上是否开放了113端口 2.使用fport命令察看出是哪个程序在监听113端口 fport工具下载 例如我们用fport看到如下结果: Pid Process Port Proto Path 392 svchost -> 113 TCP C:WINNTsystem32vhos.exe 我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为 c:winntsystem32下。 3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程, 并使用管理器结束该进程。 4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序, 并将相关的键值全部删掉。 5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如 rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据 木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与 监听113端口的木马程序有关的其他程序) 6.重新启动机器。 3389端口的关闭: 首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先 确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。 win2000关闭的方法: win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项, 选中属性选项将启动类型改成手动,并停止该服务。 win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项,选中属性选项将启动类型改成手动,并停止该服务。 winxp关闭的方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4899端口的关闭: 首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能 算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭4899端口: 请在开始-->运行中输入cmd(98以下为command),然后cd C:winntsystem32(你的系统 安装目录),输入r_server.exe /stop后按回车。 然后在输入r_server /uninstall /silence 到C:winntsystem32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件 5800,5900端口: 1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:winntfonts explorer.exe) 2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新 运行c:winntexplorer.exe) 3.删除C:winntfonts中的explorer.exe程序。 4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的 Explorer项。 5.重新启动机器。 6129端口的关闭: 首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是 一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务 是否是你自己安装并且是必需的,如果不是请关闭。 关闭6129端口: 选择开始-->设置-->控制面板-->管理工具-->服务 找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后 停止该服务。 到c:winntsystem32(系统目录)下将DWRCS.EXE程序删除。 到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。 1029端口和20168端口: 这两个端口是lovgate蠕虫所开放的后门端口。 蠕虫相关信息请参见:Lovgate蠕虫 你可以下载专杀工具:FixLGate.exe 使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。 45576端口: 这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带 来额外的流量) 关闭代理软件: 1.请先使用fport察看出该代理软件所在的位置 2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。 3.到该程序所在目录下将该程序删除。 有用的话就帮忙顶一下,我不想它太快沉下去了! 这可是情缘苦心搜集的! |
| B7层 发表时间: 08/07 00:03 |
| 回复: pyjx [pyjx] 论坛用户 |
登录 |
|
基础先学吗???大哥 不要一心想入侵别人的爱机了呀 |
| B8层 发表时间: 08/07 07:51 |
| 回复: all528 [all528] 论坛用户 |
登录 |
|
先从net命令学起 别着急 |
| B9层 发表时间: 08/07 20:12 |
 | 回复: xxzjmcdyt [xxzjmcdyt] 论坛用户 |
登录 |
|
什么时候才能脱离菜鸟这个称号? |
| B10层 发表时间: 08/08 19:10 |
 | 回复: yyf0322 [yyf0322] 论坛用户 |
登录 |
|
看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runserver |
| B11层 发表时间: 08/08 19:53 |
 | 回复: aney [aney] 论坛用户 |
登录 |
|
哎!~~~~~~~~~~~~~~~~ |
| B12层 发表时间: 08/08 19:55 |
| 回复: yyf0322 [yyf0322] 论坛用户 |
登录 |
|
不要这样嘛!努力! |
| B13层 发表时间: 08/08 20:08 |
| 回复: tony82yyf [tony82yyf]  论坛用户 |
登录 |
|
一样 都是菜鸟 |
| B14层 发表时间: 08/10 17:10 |
 | 回复: woainiwjy [woainiwjy] 论坛用户 |
登录 |
|
要好久的啊 |
| B15层 发表时间: 08/16 20:46 |
| 回复: lyq [imp521] 论坛用户 |
登录 |
|
建议你多下补丁拉 |
| B16层 发表时间: 08/16 20:57 |
| 回复: jacky8714 [jacky8714]  论坛用户 |
登录 |
|
按照我的习惯,如果有新漏洞,建议不要忙下补丁,把自己的机器挂在网上,然后跑到另一台机器去入侵自己的,这样比较安全,等熟练后,就去进别人的吧。 |
| B17层 发表时间: 08/17 22:10 |
 | 回复: bfn693 [bfn693] 论坛用户 |
登录 |
|
加油 |
| B18层 发表时间: 08/17 23:21 |
| 回复: jiangxiang [jiangxiang] 论坛用户 |
登录 |
|
咱也想学,但也太菜了,唉!! |
| B19层 发表时间: 08/18 14:17 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 茶余饭后 标题: 我很菜,哎~~~~~~~~~~~~