保护服务器的端口 让黑客也没办法

保护服务器的端口 让黑客也没 保护服务器的端口 让黑客也没办法(1) 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-05 13:11:17 也会你会对服务器的运行感到纳闷，为什么它能同时向外界提供类似信息下载服务、页面浏览服务、电子邮件服务呢，这么多服务同时进行工作，怎么不会发生冲突呢,其实，服务器所开通的任何一种服务，都是通过某一端口来实现的，不同的服务使用的服务器端口号是完全不一样的，而服务器同时可以开通若干个通信端口，这样的话任何一种服务使用不同的端口工作时，就不会发生冲突现象。当然，服务器的端口被各种网络服务充分利用的同时，它们也会被一些非法攻击者利用，这么一来端口有时也会成为黑客攻击服务器的一种“通道”。如果对这样的“通道”不妥善管理的话，服务器的安全将会受到极大的威胁。为此，本文下面就从服务器的端口细处出发，来向各位详细介绍一下如何活用网络“端口”，保护服务器的安全～ 屏蔽端口防止帐号被盗 www.newasp.net 大家知道，如果服务器的超级管理员帐号或者特权用户的帐号被盗用的话，那么服务器的所有隐私信息都可能会被“任人宰割”;很显然，阻止管理员帐号或特权用户帐号被非法盗用，是保护服务器信息安全的一种途径之一。要想保护好各种帐号信息，除了管理人员自己要小心、细致外，还要想办法“切断”非法用户获取帐号的“通道”;一般来说，黑客或者非法攻击者窃取服务器管理员帐号时，往往都会通过服务器的3389端口来进行的，要是我们能想办法将通往该端口的信息屏蔽掉的话，就能阻止非法攻击者来轻易窃取服务器的各种帐号信息了，这样的话服务器安全就能得到一定程度的保证。要想将3389端口暂时屏蔽掉的话，你可以按照下面的方法来进行: 在屏蔽Windows XP服务器系统中的3389端口时，你可以右击系统桌面中的“我的电脑”，然后执行右键菜单中的“属性”命令，在弹出的属性设置对话框中，选中“远程”选项卡，接着在对应的选项设置页面中，将“允许用户远程连接到这台计算机”的选中状态以及“允许从这台计算机发送远程协助邀请”的选中状态都取消掉(如图1所示)，再单击设置窗口中的“确定”按钮，就可以实现间接屏蔽Windows XP服务器系统3389端口的目的了。 图1 保护服务器的端口 让黑客也没办法(2) 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-05 13:12:44 要想暂时屏蔽Windows 2000或Windows 2003服务器中的3389端口时，只要将服务器的系统服务“Terminal Services”停用掉就可以了。在停用“Terminal Services”系统服务时，可以依次单击“开始”/“运行”命令，在随后打开的系统运行框中，执行服务策略编辑命令“services.msc”，接着服务器系统将自动打开一个服务列窗口;双击该窗口中的“Terminal Services”选项名称，打开如图2所示的服务属性设置窗口，检查该窗口中的服务启动状态是否为“已禁用”，要是不是的话，那你必须先单击该窗口中的“停止”按钮，再从启动类型下拉列表中选中“已禁用”选项，之后单击一下“确定”按钮就OK了。 图2 更改端口防止非法连接 尽管通过屏蔽3389端口的方法，可以有效地保证服务器的安全，可这么一来就会影响到网络管理人员对服务器的远程连接和远程管理了;那么有没有办法既能保证服务器的帐号不被轻易窃取，又能保证网络管理人员可以正常对服务器进行远程管理和远程维护呢,是肯定的，只要你想办法将终端服务器缺省的3389端口号码，修改成其他非法用户不知道的端口号码，就能防止普通用户随意与服务器建立非法连接了。 在修改缺省的3389端口号码时，你可以依次单击“开始”/“运行”命令，在打开的系统运行对话框中，执行注册表编辑命令“Regedit”，在随后出现的注册表编辑界面中，用鼠标逐一展开注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，如图3所示; 图3 保护服务器的端口 让黑客也没办法(3) 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-05 13:14:15 在对应“tcp”分支的右边子窗口中，选中“PortNumber”双字节值，并用鼠标双击之，在随后打开的数值设置窗口中，选中“十进制”选项，这样你将看到缺省的终端服务端口号码为“3389”，此时你可以在“数值数据”文本框中输入其他的端口号码，不过该号码千万不能与系统中已经存在的号码相同，否则的话就容易造成端口号码发生冲突现象，从而影响服务器系统的正常运行。比方说，你要将服务器的终端服务端口号码修改为“98765”，那么只要先选中“十进制”选项，再在“数值数据”文本框中输入数字“98765”，如图4所示;接着将鼠标再定位于注册表分支 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp上，再在对应“RDP-Tcp”分支的右边子窗口中，双击“PortNumber”双字节值，然后在对应的数值设置窗口中，输入新的数字“98765”，再单击“确定”按钮，最后把服务器系统重新启动一下，这样服务器的终端服务端口号码就成了“98765”了。 图4 当然，一旦服务器中的默认终端服务端口号码被修改掉后，其他用户就无法正常连接到终端服务器中了。要想重新与服务器保持连接，就要求用户在客户端也要修改一下终端服务端口号。在修改客户端的终端服务端口号时，可以先打开系统的运行对话框，然后在其中执行远程桌面连接命令“mstsc.exe”，在随后出现的设置对话框中，单击“选项”按钮，打开如图5所示的设置界面。 图5 单击该设置界面中的“本地资源”标签，然后在对应的标签页面中设置好相关的参数后(也可以使用默认参数)，单击“常规”标签，并在该标签页面中单击“另存为”按钮，这样就能将刚才的远程桌面连接设置参数保存成一个扩展名为rdp的配置文件; 保存操作完毕后，打开系统资源管理器窗口，找到刚才保存的配置文件，并用写字板之类的文本编辑工具将其打开，随后你就能看到具体的参数配置代码;此时你可以在编辑区域中自行插入一行，并且输入代码“ server port:i:98765”，然后执行“文件”/“另存为”命令，将该配置文件换名存储。之后，再返回到图5界面中的“常规”标签页面中，单击“打开”按钮，在随后出现的文件选择对话框中，将新生成的rdp配置文件导入进来，最后单击“连接”按钮，就能确保客户端自动与新的终端服务端口号“98765”建立连接了。而对于那些不知道新终端服务端口号码的用户来说，他们就无法与终端服务器建立连接，这样他们就不会威胁到服务器的安全了。 保护服务器的端口 让黑客也没办法(4) 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-05 13:20:06 全程跟踪端口活动状态 任何黑客在攻击服务器系统时，都会在系统端口处留下访问痕迹，因此及时对服务器端口的运行状态进行跟踪记录，就能了解到服务器的安全状态。一旦发现有陌生端口被打开，或者某个端口运行了陌生的应用程序时，网络管理人员就必须立即切断网络连接，然后采取相应的应对措施，来保证服务器拒绝受到外来攻击。要想全程跟踪服务器的端口活动状态，单纯依靠人工行为肯定是不行的;为此，网络管理人员还必须借助专业的端口信息查看工具的帮忙，本文下面就以Port Reporter工具为例，来向各位详细介绍一下如何对服务器的端口工作状态进行监视和查看: 首先到网上将Port Reporter工具下载下来，并用专业的解压工具将其释放到临时目录;接着双击临时目录中的“pr-setup.exe”文件，就能将该程序安装到服务器系统中。当然，该程序在安装结束后，不会象其他Windows应用程序那样在系统桌面上或者开始菜单中，留下Port Reporter的快捷图标，这样一来网络管理人员就不能按常规方法来启动该程序了; 要想顺利启动好Port Reporter程序，必须依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入服务策略编辑命令“Services.msc”，在打开的系统服务列表界面中，你会发现多了一项“Port Reporter”选项;用鼠标双击该选项，打开如图6所示的服务属性设置窗口，从该窗口中你不难发现，在默认状态下，“Port Reporter”服务是停止的，要想启用该服务，只要单击该窗口的“启动”按钮就可以了;一旦启用了该服务，那么服务器的所有开放端口的运行状态，都会受到Port Reporter工具自动跟踪和记忆，并且将跟踪和记忆的结果保存在“%systemroot%\System32\LogFiles\PortReporter”目录中;当然，要是每次都象上面的操作来启动Port Reporter工具的话，显然是很麻烦的;为此你可以在图6所示的服务属性设置窗口中，单击“启动类型”处的下拉按钮，并从下拉列表中选中“自动”选项，最后单击“确定”按钮，这样的话Port Reporter工具日后就可以随Windows操作系统的启动而一起启动了; 图6 从“Port Reporter”工具启动成功的那一刻，它就开始进入“角色”，自动跟踪记忆本地服务器中所有开放的TCP端口、UDP端口运行状态了;要想查看每个端口的具体运行状态时，只要进入到系统资源管理器窗口，打开系统安装目录下的“System32\LogFiles\PortReporter”文件夹，然后从“pr-initial”类型的日志文件中，就能知道每个系统进程调用了什么类型的网络信息，从“pr-ports”类型的日志文件中，就能知道每个端口调用了哪些具体的应用程序，从“pr-pids”类型的日志文件中，就能了解到任意一个开放端口所使用的系统进程具体工作状态了。 保护服务器的端口 让黑客也没办法(5) 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-05 13:21:38 “揪出”恶意程序调用端口 不少恶意程序在攻击服务器时，都会在系统的进程列表中留下“影子”，通过这个“影子”，网络管理人员多半能够知道当前是什么恶意程序在攻击服务器系统。为了阻止恶意程序继续攻击服务器，不少网络管理人员都希望能查询得到该恶意程序调用的系统端口，以便通过防火墙来封锁该端口的通信。那么如何才能方便地知道某个应用程序，调用了什么端口呢,其实很简单，你可以通过下面的方法来实现: 首先确保目标应用程序正在运行之中，同时确保该应用程序已经发出了网络连接请求(只要执行了相应的网络操作就能向服务器系统发出网络连接请求); 接着依次单击“开始”/“运行”命令，在随后出现的系统运行对话框中，输入“cmd”字符串命令，单击“确定”按钮后，将系统状态切换到MS-DOS工作模式，然后在DOS命令行中执行“netstat -ano >aaa.txt”命令，这样netstat命令就能把当前服务器正在侦听的所有端口列表输出到“aaa.txt”文本文件中了; 下面再在DOS命令行中输入字符串命令“tasklist >bbb.txt”，单击回车键后，tasklist程序会自动把当前服务器中正在运行的应用程序及其对应的进程标识表输出到“bbb.txt”文本文件中了; 然后打开系统的资源管理器窗口，找到刚才的输出文本文件“aaa.txt”、“bbb.txt”，并分别打开这些文本文件;仔细这些文件，你会发现只要先从“bbb.txt”文件中，找出目标应用程序所对应的进程标识号，然后在“aaa.txt”文件中，根据应用程序的标识号，就能知道对应应用程序所使用的具体端口号码了。 按照上面的方法，相信你很快就能把恶意应用程序所使用的端口号码“揪”出来了;以后，把恶意程序使用的端口号码添加到防火墙中，以实现对该恶意端口的信息“封锁”，从而确保服务器的安全。 保护服务器的端口 让黑客也没办法(6) 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-05 13:23:03 映射端口保护内网安全 大家知道，要是把单位内部的局域网直接与Internet连接的话，那么内网的安全性将会受到空前的威胁，毕竟内网中的任意一台工作站IP地址都会直接“暴露”在Internet中，那么Internet中的各种病毒或黑客都能直接“闯入”到内部局域网中。为了避免Internet主机直接“接触”内网主机，不少网络管理人员都采用了端口映射的方法，把指定端口中的信息访问请求“转移”到内网特定计算机中的某一端口上，从而实现间接访问内网的目的，这样就能避免内网主机会受到病毒或黑客的攻击。 要想对指定端口上的通信进行端口映射，必须借助专业端口映射工具的帮忙才能实现;目前，类似这样的端口工具有许多，本文以经常使用的PortMap工具为例，来向各位具体介绍一下如何实现端口的一对一映射功能: 首先到网上下载获得PortMap工具，并对它进行默认方式的安装，当然一定要将它安装到内网的某台工作站中哟～安装完毕后，直接运行该程序，然后在弹出的主程序界面中单击“添加”按钮，打开如图7所示的端口映射设置窗口; 图7 在该窗口的“名称”文本框中，输入需要进行映射的目标计算机名称，然后单击“输入IP”处的下拉按钮，从弹出的下拉列表中选中“Any IP”选项，这种设置表明端口映射适合任何方式上网的Internet主机，例如哪怕是使用电话拨号方式上网的动态主机，也能使用端口映射功能访问到内网计算机; 接着在“输入端口”文本框中输入合适的端口号码，该端口其实就是外部用户能直接访问的主机端口号码，该号码可以任意输入，不过不能与指定主机已经使用的端口号码相冲突，否则的话外网用户就无法使用该端口进行端口映射了; 再在“输出IP”文本框中，输入需要访问的内网工作站的IP地址，例如“10.192.168.1”，同时在“输出端口”文本框中填上合适的内网主机端口号，该号码的填写应以外部用户的访问目的为，例如外部用户要访问内网指定主机的Web资源时，那么你就必须在“输出端口”文本框中填上“80”号码，要是外部用户要访问内网指定主机的ftp资源时，那么你就必须在“输出端口”文本框中填上“21”号码等;此外，你还需要将该设置界面中的“程序运行时自动启动”选项选中，然后单击一下“确定”按钮，结束端口映射设置操作。 到了这里，前面设置好的端口映射项目并没有立即生效，你还需要返回到PortMap工具的主程序界面，选中前面生成的端口映射名称，再单击一下主界面工具栏中的“启动”按钮，这样端口映射功能才可以真正 生效。黑客入侵PC常用手段及应对措施 减小字体 增大字体 作者:风未起时 来源:中国站长学院 发布时间:2005-04-06 06:14:16 孙子兵法上说，知己知彼，百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的，我们更应该了解一些常见的黑客入侵手法，针对不同的方法采取不同的措施，做到有的放矢。 1 木马入侵 木马也许是广大电脑爱好者最深恶痛绝的东东了，相信不少朋友都受到过它的骚扰。木马有可能是黑客在已经获取我们僮飨低晨尚慈ㄏ薜那疤嵯拢珊诳蜕洗模ɡ缦旅婊崽岬降膇pc$共享入侵);也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的(利用了IE漏洞);当然，最多的情况还是我们防范意识不强，随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用。 应对措施:提高防范意识，不要随意运行别人发来的软件。安装木马查杀软件，及时更新木马特征库。推荐使用the cleaner，木马克星。 2 ipc$共享入侵 微软在win2000，xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令，那就更可怕了。一条典型的入侵流程如下: (1)用任何办法得到一个帐户与口令(猜测，破解)，网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的。如果你的密码位数不高，又很简单，是很容易被破解的。根据我的个人经验，相当多的人都将administrator的口令设为123，2003，或者干脆不设密码。 (2)使用命令net use \\xxx.xxx.xxx.xxx\ipc$“密码” /user:“用户名”建立一个有一定权限的ipc$连接。用copy trojan.exe \\xxx.xxx.xxx.xxx\admin$ 将木马程序的服务器端复制到系统目录下。 (3)用net time \\xxx.xxx.xxx.xxx 命令查看对方操作系统的时间，然后用at \\202.xxx.xxx.xxx 12:00 trojan.exe 让trojan.exe在指定时间运行。 这样一来，你的电脑就完全被黑客控制了。 应对措施:禁用server服务, Task Scheduler服务，去掉网络文件和打印机共享前的对勾，当然，给自己的帐户加上强壮的口令才是最关键的。如下图: 3 iis漏洞入侵 由于宽带越来越普及，给自己的win2000或是xp装上简单易学的iis，搭建一个不定时开放的ftp或是web站点，相信是不少电脑爱好者所向往的，而且应该也已经有很多人这样做了。但是iis层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次 对iis的远程攻击。 利用iis的webdav漏洞攻击成功后的界面 这里的systen32就指的是对方机器的系统文件夹了，也就是说黑客此刻执行的任何命令，都是在被入侵的机器上运行的。这个时候如果执行format命令，危害就可想而知了，用net user命令添加帐户也是轻而易举的。如下图: 应对措施:关注微软官方站点，及时安装iis的漏洞补丁。 4 网页恶意代码入侵 在我们浏览网页的时候不可避免的会遇到一些不正规的网站，它们经常会擅自修改浏览者的注册表，其直接体现便是修改IE的默认主页，锁定注册表，修改鼠标右键菜单等等。实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的。只要保护好自己的注册表，就一切ok了。应对措施:安装具有注册表实时监控功能的防护软件，做好注册表的备份工作。禁用Remote Registry Service服务，不要上一些不该上的网站。