保護網絡安全 路由安全設置九步曲
[ 2007-03-25 04:12:07 | 作者: sun ]
對于大多數企業局域網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數網絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。
經過恰當的設置,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。如果你愿意的話,這種路由器還能夠讓好人進入網絡。不過,沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。
在下列指南中,我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的磚墻,而不是一個敞開的大門。
1.修改默認的口令!
據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱,80%的安全突破事件是由薄弱的口令引起的。網絡上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你的服務器是很聽話的。讓它做什么它就做什么,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網絡性能。
參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。
3.如果可能,關閉路由器的HTTP設置
正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對于你從遠程位置(例如家里)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
4.封鎖ICMP ping請求
ping的主要目的是識別目前正在使用的主機。因此,ping通常用于更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。
請注意,這樣做實際上并不能保護你的網絡不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
5.關閉IP源路由
IP協議允許一臺主機指定數據包通過你的網絡的路由,而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像,或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障,否則應該關閉這個功能。
6.確定你的數據包過濾的需求
封鎖端口有兩項理由。其中之一根據你對安全水平的要求對于你的網絡是合適的。
對于高度安全的網絡來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的端口和IP地址都必要要封鎖。例如,用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問,而所有其它端口和地址都可以關閉。
大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時,可以封鎖你的網絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網絡的安全性。例如,封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back orifice木馬程序更難攻擊你的網絡。
這項工作應該在網絡規劃階段確定,這時候安全水平的要求應該符合網絡用戶的需求。查看這些端口的列表,了解這些端口正常的用途。
7.建立準許進入和外出的地址過濾政策
在你的邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規定的行為。除了特殊的不同尋常的案例之外,所有試圖從你的網絡內部訪問互聯網的IP地址都應該有一個分配給你的局域網的地址。例如,192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是,216.239.55.99這個地址很可能是欺騙性的,并且是一場攻擊的一部分。
相反,來自互聯網外部的通信的源地址應該不是你的內部網絡的一部分。因此,應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
從網絡嗅探的角度看,路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包,而集線器相所有的節點播出數據。如果連接到那臺集線器的一個系統將其網絡適配器置于混亂的模式,它們就能夠接收和看到所有的廣播,包括口令、POP3通信和Web通信。
然后,重要的是確保物理訪問你的網絡設備是安全的,以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。
9.花時間審閱安全記錄
審閱你的路由器記錄(通過其內置的防火墻功能)是查出安全事件的最有效的方法,無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網的記錄,你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。
此外,一般來說,路由器位于你的網絡的邊緣,并且允許你看到進出你的網絡全部通信的狀況。
特洛伊木馬如何利用文件關聯和設置名
[ 2007-03-25 04:11:56 | 作者: sun ]
特洛伊木馬如何利用文件關聯和設置名
我們知道,在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序,使之開機時自動運行,類似“Run”這樣的子鍵在注冊表中還有幾處,均以“Run”開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動。舉例來說,打開注冊表,展開注冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這里是exe文件的打開方式,默認鍵值為:“%1”%*。如果把默認鍵值改為Trojan.exe“%1”%*,您每次運行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就采用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招——關聯txt文件。
對付這種隱藏方法,主要是經常檢查注冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份注冊表,發現問題后立即用備份文件恢復注冊表,既方便、快捷,又安全、省事。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或文件夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾,讓木馬可以躲在那里而不被發現。
具體方法是:點擊“開始”菜單的“運行”,輸入cmd.exe,回車進入命令提示符窗口,然后輸入md c:con\命令,可以建立一個名為con的目錄。默認請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令,可以建立aux目錄,輸入md c:prn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的文件夾時,explorer.exe失去了響應,而許多“牧馬人”就是利用這個方法將木馬隱藏在這類特殊的文件夾中,從而達到隱藏、保護木馬程序的目的。
現在,我們可以把文件復制到這個特殊的目錄下,當然,不能直接在Windows中復制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe \.c:aux\命令,就可以把木馬文件muma.exe復制到C盤下的aux文件夾中,然后點擊“開始”菜單中的“運行”,在“運行”中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊文件夾名進入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。
由于使用del c:aux\命令可以刪除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難刪除。具體方法就是在復制木馬文件到aux文件夾時使用命令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe復制到aux目錄中,并且改名為con.exe,而con.exe文件是無法用普通方法刪除的。
可能有的朋友會想,這個con.exe文件在“開始”菜單的“運行”中無法運行啊。其實不然,只要在命令行方式下輸入cmd /c \.c:con就可以運行這個程序了。在運行時會有一個cmd窗口一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機腳本,也可以利用cmd.exe的autorun:在注冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要運行的.bat文件或.cmd文件的路徑,如c:winntsystem32auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。
對于這類特殊的文件夾,發現后我們可以采用如下方法來刪除它:先用del \.c:con.exe命令刪除con.exe文件(該文件假設就是其中的木馬文件名),然后再用rd \.c:aux命令刪除aux文件夾即可。
好了,文章到這里就結束了。由于水平有限,文中如有不正確或值得商榷的地方歡迎大家批評指點,另外,寫作時曾參閱過網上高手們的帖子,受益匪淺,在此一并謝過!
不過,AutoRun不僅能應用于光盤中,同樣也可以應用于硬盤中(要注意的是,AutoRun.inf必須存放在磁盤根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
打開記事本,新建一個文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設定一個個性化的圖標,“Shell32.DLL”是包含很多Windows圖標的系統文件,“21”表示顯示編號為21的圖標,無數字則默認采用文件中的第一個圖標;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運行程序的路徑及其文件名。
如果把Open行換為木馬文件,并將這個AutoRun.inf文件設置為隱藏屬性,我們點擊硬盤時就會啟動木馬。
為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能。在“開始”菜單的“運行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬盤的AutoRun功能,如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改后重新啟動計算機,設置就會生效。
我們知道,在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序,使之開機時自動運行,類似“Run”這樣的子鍵在注冊表中還有幾處,均以“Run”開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動。舉例來說,打開注冊表,展開注冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這里是exe文件的打開方式,默認鍵值為:“%1”%*。如果把默認鍵值改為Trojan.exe“%1”%*,您每次運行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就采用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招——關聯txt文件。
對付這種隱藏方法,主要是經常檢查注冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份注冊表,發現問題后立即用備份文件恢復注冊表,既方便、快捷,又安全、省事。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或文件夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾,讓木馬可以躲在那里而不被發現。
具體方法是:點擊“開始”菜單的“運行”,輸入cmd.exe,回車進入命令提示符窗口,然后輸入md c:con\命令,可以建立一個名為con的目錄。默認請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令,可以建立aux目錄,輸入md c:prn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的文件夾時,explorer.exe失去了響應,而許多“牧馬人”就是利用這個方法將木馬隱藏在這類特殊的文件夾中,從而達到隱藏、保護木馬程序的目的。
現在,我們可以把文件復制到這個特殊的目錄下,當然,不能直接在Windows中復制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe \.c:aux\命令,就可以把木馬文件muma.exe復制到C盤下的aux文件夾中,然后點擊“開始”菜單中的“運行”,在“運行”中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊文件夾名進入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。
由于使用del c:aux\命令可以刪除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難刪除。具體方法就是在復制木馬文件到aux文件夾時使用命令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe復制到aux目錄中,并且改名為con.exe,而con.exe文件是無法用普通方法刪除的。
可能有的朋友會想,這個con.exe文件在“開始”菜單的“運行”中無法運行啊。其實不然,只要在命令行方式下輸入cmd /c \.c:con就可以運行這個程序了。在運行時會有一個cmd窗口一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機腳本,也可以利用cmd.exe的autorun:在注冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要運行的.bat文件或.cmd文件的路徑,如c:winntsystem32auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。
對于這類特殊的文件夾,發現后我們可以采用如下方法來刪除它:先用del \.c:con.exe命令刪除con.exe文件(該文件假設就是其中的木馬文件名),然后再用rd \.c:aux命令刪除aux文件夾即可。
好了,文章到這里就結束了。由于水平有限,文中如有不正確或值得商榷的地方歡迎大家批評指點,另外,寫作時曾參閱過網上高手們的帖子,受益匪淺,在此一并謝過!
不過,AutoRun不僅能應用于光盤中,同樣也可以應用于硬盤中(要注意的是,AutoRun.inf必須存放在磁盤根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
打開記事本,新建一個文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設定一個個性化的圖標,“Shell32.DLL”是包含很多Windows圖標的系統文件,“21”表示顯示編號為21的圖標,無數字則默認采用文件中的第一個圖標;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運行程序的路徑及其文件名。
如果把Open行換為木馬文件,并將這個AutoRun.inf文件設置為隱藏屬性,我們點擊硬盤時就會啟動木馬。
為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能。在“開始”菜單的“運行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬盤的AutoRun功能,如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改后重新啟動計算機,設置就會生效。
看看你是為誰在養“木馬”
[ 2007-03-25 04:11:44 | 作者: sun ]
當你發現自己的愛機中了木馬時一定很氣憤,很想知道是誰把馬放在你的愛機里。這里先簡單解釋一下原理,怎么去找出馬的主人吧!
現在很多木馬都有發IP信件的功能,“冰河”就是其中的佼佼者,也是國內用得最多的木馬。它能把你上地的動態IP,電腦里的隱藏密碼和個人信息等在受害密碼和個人信息等在受害者不知道的情況下記錄下來并發到指定的E-mail信箱。我們就利用它發的IP信是明文信息的特點(現在好像還沒有哪個木馬發的IP信有進行過加密的),用sniffer類軟件把它記錄下來。這樣我們就能知道對你用過木馬那人的E-mail了。所以我們不要立即把愛機里的木馬清除掉(不入虎穴焉得虎子),因為我們還要靠它找出它的主人呢!
首先去下載必要的工具,http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下運行)或HTTP://www.guanqian.com/starkun/tools/other/mpsnif01013.zip(在windos下運行)。兩個不同環境下運行的工具各有所長。
一、DOS下winsniff的用法
在c盤創建一個winsniff目錄,把包解壓,解壓后它里面有七個文件。
打開一個MS-DOS窗口(“點擊開始--程序--MS-DOS方式”)進入winsniff目錄(在MSDOS方式下輸入cd\winsniff,跟著按車鍵)。接著輸入winsniff/1,按回車,檢查撥號適配器的編號(這里檢查結果為0)。
輸入winsniff/a 0 /a mail.txt,按回車,這時顯示,其中的“0”是表示你的撥號適配器即modem的編號,當你還裝有其它網絡設備(如:局域網網卡)時它就不一定是0了,那時就要因應不同的需要而改變,“mail.txt”是表示記錄文件的名字,可以任意取名字。
接著就是撥號上網或與網絡連接(局域網的用戶),等著winsniff幫你截獲信息吧。
當你看到顯示,出現“[mail]”時請按“ctrl+c”鍵結束程序,這時你就可以用筆記本打開“mail.txt”文件看看里面的信息了,是不是很驚訝呢,你的密碼什么的都給記錄下來了!記錄文件中的“TO:”后面顯示的E-mail地址就是木馬主人的E-mail地址了,跟闃想怎么利用這E-mail地址對付那可惡的人就你自已喜歡了,呵呵。但不要玩過火了!這軟件的優點是比較穩定不容易出錯;缺點就是操作煩瑣,適合具備一點DOS操作經驗的人用,但我個人比較喜歡用它,因為穩定!
二、Windows下masnif的使用
在c盤創建一個mpsnif目錄,把它解壓,解壓后有四個文件。通過雙擊MPSnif文件運行軟件,它的工作界面如圖4所示。
首先要對它進行一下設置,點擊一下設置,點擊一下“setup”按鈕就會出現所示對話框,“Dicectory(目錄)”后原來填的是“c:\”,把它改為“C:\mpsnif\”,而“DNS”可以忽略,點擊“OK”按鈕后它會再出現一個對話框,忽略它點擊“確定”即可。然后把軟件關掉再重新啟動,這時剛才的設置就生效了。
選擇要監視的設備,一般是選“撥號適配器”(如果你還裝了其它網絡設備,并且要對它進行監視才選你要監視的設備)。還要選擇要監視的協議,單擊“TCP ports”選中“Smtp(25)”,使它的前面有個鉤。
這時可以點擊“Start”按鈕使軟件開始工作,按著要做的就是撥號上網或與網絡連接(局域網的用戶),等著MPsnif幫你截獲信息。我們也可以去干別的事,這時MPSnif會顯示很多數據記錄。
等下到網后再到“C:mpsnif”目錄中查找并打開文件名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發信出去時在本機打開的承受機端口,而它前面的XXX_XXX_XXX_XXX是你該次上網的IP地址;$25為郵件服務器打開的S M T P 端口,它前面的XXXXXX為該郵件的大小),在文件里“TO:”后面的E-mail地址就是木馬主人的E-mail地址了。這軟件的優點是操作較為簡單方便,容易使用,功能比上面那個強(還有很多別的監視功能,有興趣的可以自己研究。);缺點是不夠穩定,常提示你程序出錯(可能是它還是測試版的原因吧,或是我的系統出了問題),但不會影響到它的攔截數據的功能,它適合那些對電腦了解不深的人應用。
三、使用注意事項
1.運行這兩個軟件時都必須要在撥號上網或與網絡連接前就運行,因為這樣才能肯定攔截到木馬所發出的IP信;
2.在運行這兩個軟件時不要作任何收發郵件的工作,因為這樣會影響到攔截數據的準確性,給你造成“誤報”的可能性;
3.這兩個軟件者不是百分之百的不會出問題,有時可能會攔截不到,請多試一兩次提高準確率;
4.我們知道木馬主人的E-mail后,記得把愛機里的木馬給清除了,這樣才能徹底的杜絕其他人對你愛機進行的木馬侵擾;
5.在給木馬主人的懲罰時請適可而止,不要過火了,到時候造成別的人嚴重損失時理虧就會變成你了;
6.這兩個軟件都會牽涉到一些別的安全問題,請不要用來做違法的事
現在很多木馬都有發IP信件的功能,“冰河”就是其中的佼佼者,也是國內用得最多的木馬。它能把你上地的動態IP,電腦里的隱藏密碼和個人信息等在受害密碼和個人信息等在受害者不知道的情況下記錄下來并發到指定的E-mail信箱。我們就利用它發的IP信是明文信息的特點(現在好像還沒有哪個木馬發的IP信有進行過加密的),用sniffer類軟件把它記錄下來。這樣我們就能知道對你用過木馬那人的E-mail了。所以我們不要立即把愛機里的木馬清除掉(不入虎穴焉得虎子),因為我們還要靠它找出它的主人呢!
首先去下載必要的工具,http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下運行)或HTTP://www.guanqian.com/starkun/tools/other/mpsnif01013.zip(在windos下運行)。兩個不同環境下運行的工具各有所長。
一、DOS下winsniff的用法
在c盤創建一個winsniff目錄,把包解壓,解壓后它里面有七個文件。
打開一個MS-DOS窗口(“點擊開始--程序--MS-DOS方式”)進入winsniff目錄(在MSDOS方式下輸入cd\winsniff,跟著按車鍵)。接著輸入winsniff/1,按回車,檢查撥號適配器的編號(這里檢查結果為0)。
輸入winsniff/a 0 /a mail.txt,按回車,這時顯示,其中的“0”是表示你的撥號適配器即modem的編號,當你還裝有其它網絡設備(如:局域網網卡)時它就不一定是0了,那時就要因應不同的需要而改變,“mail.txt”是表示記錄文件的名字,可以任意取名字。
接著就是撥號上網或與網絡連接(局域網的用戶),等著winsniff幫你截獲信息吧。
當你看到顯示,出現“[mail]”時請按“ctrl+c”鍵結束程序,這時你就可以用筆記本打開“mail.txt”文件看看里面的信息了,是不是很驚訝呢,你的密碼什么的都給記錄下來了!記錄文件中的“TO:”后面顯示的E-mail地址就是木馬主人的E-mail地址了,跟闃想怎么利用這E-mail地址對付那可惡的人就你自已喜歡了,呵呵。但不要玩過火了!這軟件的優點是比較穩定不容易出錯;缺點就是操作煩瑣,適合具備一點DOS操作經驗的人用,但我個人比較喜歡用它,因為穩定!
二、Windows下masnif的使用
在c盤創建一個mpsnif目錄,把它解壓,解壓后有四個文件。通過雙擊MPSnif文件運行軟件,它的工作界面如圖4所示。
首先要對它進行一下設置,點擊一下設置,點擊一下“setup”按鈕就會出現所示對話框,“Dicectory(目錄)”后原來填的是“c:\”,把它改為“C:\mpsnif\”,而“DNS”可以忽略,點擊“OK”按鈕后它會再出現一個對話框,忽略它點擊“確定”即可。然后把軟件關掉再重新啟動,這時剛才的設置就生效了。
選擇要監視的設備,一般是選“撥號適配器”(如果你還裝了其它網絡設備,并且要對它進行監視才選你要監視的設備)。還要選擇要監視的協議,單擊“TCP ports”選中“Smtp(25)”,使它的前面有個鉤。
這時可以點擊“Start”按鈕使軟件開始工作,按著要做的就是撥號上網或與網絡連接(局域網的用戶),等著MPsnif幫你截獲信息。我們也可以去干別的事,這時MPSnif會顯示很多數據記錄。
等下到網后再到“C:mpsnif”目錄中查找并打開文件名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發信出去時在本機打開的承受機端口,而它前面的XXX_XXX_XXX_XXX是你該次上網的IP地址;$25為郵件服務器打開的S M T P 端口,它前面的XXXXXX為該郵件的大小),在文件里“TO:”后面的E-mail地址就是木馬主人的E-mail地址了。這軟件的優點是操作較為簡單方便,容易使用,功能比上面那個強(還有很多別的監視功能,有興趣的可以自己研究。);缺點是不夠穩定,常提示你程序出錯(可能是它還是測試版的原因吧,或是我的系統出了問題),但不會影響到它的攔截數據的功能,它適合那些對電腦了解不深的人應用。
三、使用注意事項
1.運行這兩個軟件時都必須要在撥號上網或與網絡連接前就運行,因為這樣才能肯定攔截到木馬所發出的IP信;
2.在運行這兩個軟件時不要作任何收發郵件的工作,因為這樣會影響到攔截數據的準確性,給你造成“誤報”的可能性;
3.這兩個軟件者不是百分之百的不會出問題,有時可能會攔截不到,請多試一兩次提高準確率;
4.我們知道木馬主人的E-mail后,記得把愛機里的木馬給清除了,這樣才能徹底的杜絕其他人對你愛機進行的木馬侵擾;
5.在給木馬主人的懲罰時請適可而止,不要過火了,到時候造成別的人嚴重損失時理虧就會變成你了;
6.這兩個軟件都會牽涉到一些別的安全問題,請不要用來做違法的事
新手也能對付病毒:看端口清木馬
[ 2007-03-25 04:11:33 | 作者: sun ]
如果計算機里存在著木馬病毒和未經授權的遠程控制軟件,那別人不但能得到你所有的隱私信息和賬號密碼,更能隨時奪走計算機的控制權,本文主要講述如何關閉這兩類軟件。
需要說明的一點是,本文介紹的各種木馬及未授權被安裝的遠程控制軟件均是由于沒有正確的設置管理員密碼導致系統被侵入而存在的。因此請先檢查系統中所有帳號的口令是否設置的足夠安全。
口令設置要求:
1.口令應該不少于8個字符;
2.不包含字典里的單詞、不包括姓氏的漢語拼音;
3.同時包含多種類型的字符,比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數字(0,1,2,…9)、標點符號(@,,!,$,%,& …)。
注意:下文中提到的相關路徑根據您的操作系統版本不同會有所不同,請根據自己的系統做相應的調整。根據系統安裝的路徑不同,目錄所在盤符也可能不同,如系統安裝在D盤,請將C:\Windows改為D:\Windows依此類推。
大部分的木馬程序都可以改變默認的服務端口,我們應該根據具體的情況采取相應的措施,一個完整的檢查和刪除過程如下例所示:
例:113端口木馬的清除(僅適用于Windows系統):這是一個基于irc聊天室控制的木馬程序。
1.首先使用netstat -an命令確定自己的系統上是否開放了113端口;
2.使用fport命令察看出是哪個程序在監聽113端口;
例如我們用fport看到如下結果:
Pid ProcessPort Proto Path
392 svchost -> 113 TCP
C:\WinNT\system32\vhos.exe
我們就可以確定在監聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。
3.確定了木馬程序名(就是監聽113端口的程序)后,在任務管理器中查找到該進程,并使用管理器結束該進程。
4.在開始-運行中鍵入regedit運行注冊表管理程序,在注冊表里查找剛才找到那個程序,并將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。(通常木馬還會包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根據木馬程序不同,文件也有所不同,你可以通過察看程序的生成和修改的時間來確定與監聽113端口的木馬程序有關的其他程序)。
6.重新啟動機器。
707端口:
這個端口開放表示你可能感染了nachi蠕蟲病毒,該蠕蟲的清除方法如下:
1、停止服務名為WinS Client和Network Connections Sharing的兩項服務;
2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件;
3、編輯注冊表,刪除HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services項中名為RpcTftpd和RpcPatch的兩個鍵值。
1999端口:
這個端口是木馬程序BackDoor的默認服務端口,該木馬清除方法如下:
1、使用進程管理工具將notpa.exe進程結束;
2、刪除c:\Windows\目錄下的notpa.exe程序;
3、編輯注冊表,刪除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run項中包含c:\Windows\notpa.exe /o=yes的鍵值。
2001端口:
這個端口是木馬程序黑洞2001的默認服務端口,該木馬清除方法如下:
1、首先使用進程管理軟件將進程Windows.exe殺掉;
2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件;
3、編輯注冊表,刪除HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \CurrentVersion \RunServices\項中名為Windows的鍵值;
4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項刪除;
5、修改HKEY_CLASSES_ROOT \txtfile \shell \open \command項中的c:\Winnt\system32\S_SERVER.EXE %1為C:\WinNT\NOTEPAD.EXE %1;
6、修改HKEY_LOCAL_MACHINE \Software \CLASSES \txtfile\shell \open \command項中的c:\Winnt\system32\S_SERVER.EXE %1鍵值改為 C:\WinNT\NOTEPAD.EXE %1。
2023端口:
這個端口是木馬程序Ripper的默認服務端口,該木馬清除方法如下:
1、使用進程管理工具結束sysrunt.exe進程;
2、刪除c:\Windows目錄下的sysrunt.exe程序文件;
3、編輯system.ini文件,將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe后保存;
4、重新啟動系統。
2583端口:
這個端口是木馬程序Wincrash v2的默認服務端口,該木馬清除方法如下:
1、編輯注冊表,刪除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run\項中的WinManager = "c:\Windows\server.exe"鍵值;
2、編輯Win.ini文件,將run=c:\Windows\server.exe改為run=后保存退出;
3、重新啟動系統后刪除C:\Windows\system\ SERVER.EXE。
3389端口:
首先說明3389端口是Windows的遠程管理終端所開的端口,它并不是一個木馬程序,請先確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。
Win2000關閉的方法:
1、Win2000server
開始-->程序-->管理工具-->服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務。
2、Win2000pro
開始-->設置-->控制面板-->管理工具-->服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務。
Winxp關閉的方法:
在我的電腦上閿壹∈糶?->遠程,將里面的遠程協助和遠程桌面兩個選項框里的勾去掉。
4444端口:
如果發現你的機器開放這個端口,可能表示你感染了msblast蠕蟲,清除該蠕蟲的方法如下:
1、使用進程管理工具結束msblast.exe的進程;
2、編輯注冊表,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的"Windows auto update"="msblast.exe"鍵值;
3、刪除c:\Winnt\system32目錄下的msblast.exe文件。
4899端口:
首先說明4899端口是一個遠程控制軟件(remote administrator)服務端監聽的端口,他不能算是一個木馬程序,但是具有遠程控制功能,通常殺毒軟件是無法查出它來的,請先確定該服務是否是你自己開放并且是必需的。如果不是請關閉它。
關閉方法:
1、請在開始-->運行中輸入cmd(98以下為command),然后 cd C:\Winnt\system32(你的系統安裝目錄),輸入r_server.exe /stop后按回車。
然后在輸入r_server /uninstall /silence;
2、到C:\Winnt\system32(系統目錄)下刪除r_server.exe admdll.dll raddrv.dll三個文件。
5800,5900端口:
首先說明5800,5900端口是遠程控制軟件VNC的默認服務端口,但是VNC在修改過后會被用在某些蠕蟲中。請先確認VNC是否是你自己開放并且是必須的,如果不是請關閉。
關閉方法:
1、首先使用fport命令確定出監聽在5800和5900端口的程序所在位置(通常會是c:\Winnt\fonts\explorer.exe);
2、在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:\Winnt\explorer.exe);
3、刪除C:\Winnt\fonts\中的explorer.exe程序;
4、刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的Explorer鍵值;
5、重新啟動機器。
6129端口:
首先說明6129端口是一個遠程控制軟件(dameware nt utilities)服務端監聽得端口,他不是一個木馬程序,但是具有遠程控制功能,通常的殺毒軟件是無法查出它來的。請先確定該服務是否是你自己安裝并且是必需的,如果不是請關閉。
關閉方法:
1、選擇開始-->設置-->控制面板-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項,將啟動類型改成禁用后停止該服務;
2、到c:\Winnt\system32(系統目錄)下將DWRCS.EXE程序刪除;
3、到注冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項中的DWRCS鍵值刪除。
需要說明的一點是,本文介紹的各種木馬及未授權被安裝的遠程控制軟件均是由于沒有正確的設置管理員密碼導致系統被侵入而存在的。因此請先檢查系統中所有帳號的口令是否設置的足夠安全。
口令設置要求:
1.口令應該不少于8個字符;
2.不包含字典里的單詞、不包括姓氏的漢語拼音;
3.同時包含多種類型的字符,比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數字(0,1,2,…9)、標點符號(@,,!,$,%,& …)。
注意:下文中提到的相關路徑根據您的操作系統版本不同會有所不同,請根據自己的系統做相應的調整。根據系統安裝的路徑不同,目錄所在盤符也可能不同,如系統安裝在D盤,請將C:\Windows改為D:\Windows依此類推。
大部分的木馬程序都可以改變默認的服務端口,我們應該根據具體的情況采取相應的措施,一個完整的檢查和刪除過程如下例所示:
例:113端口木馬的清除(僅適用于Windows系統):這是一個基于irc聊天室控制的木馬程序。
1.首先使用netstat -an命令確定自己的系統上是否開放了113端口;
2.使用fport命令察看出是哪個程序在監聽113端口;
例如我們用fport看到如下結果:
Pid ProcessPort Proto Path
392 svchost -> 113 TCP
C:\WinNT\system32\vhos.exe
我們就可以確定在監聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。
3.確定了木馬程序名(就是監聽113端口的程序)后,在任務管理器中查找到該進程,并使用管理器結束該進程。
4.在開始-運行中鍵入regedit運行注冊表管理程序,在注冊表里查找剛才找到那個程序,并將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。(通常木馬還會包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根據木馬程序不同,文件也有所不同,你可以通過察看程序的生成和修改的時間來確定與監聽113端口的木馬程序有關的其他程序)。
6.重新啟動機器。
707端口:
這個端口開放表示你可能感染了nachi蠕蟲病毒,該蠕蟲的清除方法如下:
1、停止服務名為WinS Client和Network Connections Sharing的兩項服務;
2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件;
3、編輯注冊表,刪除HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services項中名為RpcTftpd和RpcPatch的兩個鍵值。
1999端口:
這個端口是木馬程序BackDoor的默認服務端口,該木馬清除方法如下:
1、使用進程管理工具將notpa.exe進程結束;
2、刪除c:\Windows\目錄下的notpa.exe程序;
3、編輯注冊表,刪除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run項中包含c:\Windows\notpa.exe /o=yes的鍵值。
2001端口:
這個端口是木馬程序黑洞2001的默認服務端口,該木馬清除方法如下:
1、首先使用進程管理軟件將進程Windows.exe殺掉;
2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件;
3、編輯注冊表,刪除HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \CurrentVersion \RunServices\項中名為Windows的鍵值;
4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項刪除;
5、修改HKEY_CLASSES_ROOT \txtfile \shell \open \command項中的c:\Winnt\system32\S_SERVER.EXE %1為C:\WinNT\NOTEPAD.EXE %1;
6、修改HKEY_LOCAL_MACHINE \Software \CLASSES \txtfile\shell \open \command項中的c:\Winnt\system32\S_SERVER.EXE %1鍵值改為 C:\WinNT\NOTEPAD.EXE %1。
2023端口:
這個端口是木馬程序Ripper的默認服務端口,該木馬清除方法如下:
1、使用進程管理工具結束sysrunt.exe進程;
2、刪除c:\Windows目錄下的sysrunt.exe程序文件;
3、編輯system.ini文件,將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe后保存;
4、重新啟動系統。
2583端口:
這個端口是木馬程序Wincrash v2的默認服務端口,該木馬清除方法如下:
1、編輯注冊表,刪除HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run\項中的WinManager = "c:\Windows\server.exe"鍵值;
2、編輯Win.ini文件,將run=c:\Windows\server.exe改為run=后保存退出;
3、重新啟動系統后刪除C:\Windows\system\ SERVER.EXE。
3389端口:
首先說明3389端口是Windows的遠程管理終端所開的端口,它并不是一個木馬程序,請先確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。
Win2000關閉的方法:
1、Win2000server
開始-->程序-->管理工具-->服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務。
2、Win2000pro
開始-->設置-->控制面板-->管理工具-->服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務。
Winxp關閉的方法:
在我的電腦上閿壹∈糶?->遠程,將里面的遠程協助和遠程桌面兩個選項框里的勾去掉。
4444端口:
如果發現你的機器開放這個端口,可能表示你感染了msblast蠕蟲,清除該蠕蟲的方法如下:
1、使用進程管理工具結束msblast.exe的進程;
2、編輯注冊表,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的"Windows auto update"="msblast.exe"鍵值;
3、刪除c:\Winnt\system32目錄下的msblast.exe文件。
4899端口:
首先說明4899端口是一個遠程控制軟件(remote administrator)服務端監聽的端口,他不能算是一個木馬程序,但是具有遠程控制功能,通常殺毒軟件是無法查出它來的,請先確定該服務是否是你自己開放并且是必需的。如果不是請關閉它。
關閉方法:
1、請在開始-->運行中輸入cmd(98以下為command),然后 cd C:\Winnt\system32(你的系統安裝目錄),輸入r_server.exe /stop后按回車。
然后在輸入r_server /uninstall /silence;
2、到C:\Winnt\system32(系統目錄)下刪除r_server.exe admdll.dll raddrv.dll三個文件。
5800,5900端口:
首先說明5800,5900端口是遠程控制軟件VNC的默認服務端口,但是VNC在修改過后會被用在某些蠕蟲中。請先確認VNC是否是你自己開放并且是必須的,如果不是請關閉。
關閉方法:
1、首先使用fport命令確定出監聽在5800和5900端口的程序所在位置(通常會是c:\Winnt\fonts\explorer.exe);
2、在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:\Winnt\explorer.exe);
3、刪除C:\Winnt\fonts\中的explorer.exe程序;
4、刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的Explorer鍵值;
5、重新啟動機器。
6129端口:
首先說明6129端口是一個遠程控制軟件(dameware nt utilities)服務端監聽得端口,他不是一個木馬程序,但是具有遠程控制功能,通常的殺毒軟件是無法查出它來的。請先確定該服務是否是你自己安裝并且是必需的,如果不是請關閉。
關閉方法:
1、選擇開始-->設置-->控制面板-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項,將啟動類型改成禁用后停止該服務;
2、到c:\Winnt\system32(系統目錄)下將DWRCS.EXE程序刪除;
3、到注冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項中的DWRCS鍵值刪除。
微軟的IE和OFFICE前幾個月一直受zero-day攻擊之擾。它已經形成了一個慣例循環,微軟每月在“補丁星期二”發布新的補丁,而在此前后就會出現一大把新的zero-day攻擊。黑客們想要在微軟能夠對付它之前,最大可能地延長他們的zeroday攻擊存在的時間。
微軟利用客戶反饋,自動工具,以及加入反病毒聯盟這些方法來了解每個新的zero-day攻擊的波及廣度。如果該攻擊波及很廣,微軟會加快正常的補丁周期,并且在下一個補丁星期二之前發布修正補丁。如果攻擊沒有廣泛傳播,通常都會是這種情況,微軟就會等到正常的發布補丁的星期二到了再發布。花正常的時間開發和測試補丁通常意味著那補丁會很穩定(最近這對微軟來說甚至變得很難做到……這就是題外話了)。
當決定按正常周期發布對付一個不是很緊急的zero-day補丁的時候,微軟也很痛苦。媒體上到處都是關于最新bug,面對騙局如何自救等等。即使是我最喜歡的dshield.org,也早早加入媒體的隊伍,抓著微軟在上百萬惡意攻擊到處蔓延的時候不立刻發布補丁的痛處不放。在最近的幾期攻擊中,所謂的“百萬惡意攻擊”波及范圍都是不超過100的。
但是別人眼中的自己才是真實的自己,在最新補丁調試階段微軟只有忍受痛苦。無論威脅是否只是適度地傳播,消費者在官方發布補丁或者其他補償保護措施(比如配置查殺程序)可用之前,只有苦苦等待。大多數用戶從來不使用替代保護方案,因此在使用官方補丁之前他們仍處于無保護狀態。
因此,很多第三方公司開始發布防護補丁,以便在官方補丁發布之前彌補空白。最集中的表現就是,新Zeroday緊急響應組(ZERT)。ZERT由一些杰出的程序員和安全專家組成,他們致力于在官方補丁滯后于大眾需要的時候提供補丁。ZERT的Z保護平臺允許人們開發和使用第三方微軟Windows補丁,并且在賣主提供補丁后允許人們卸載該第三方補丁。
另一些專業人士,比如Jesper Johansson博士,他以前是微軟的高級安全員。他建議人們使用能夠阻止zero-day代碼的補償防御措施。Jesper最近提出了一些可靠的安全修正程序,它們能夠使用組策略快速配置。
微軟以及其他很多安全專家警告用戶們不要使用第三方補丁以及修正程序。大多數用戶都應該認真聽取這些意見。首先,第三方補丁以及修正程序通常都沒有像官方補丁那樣徹底測試過。一個微軟的人員曾經告訴我,每個IE安全補丁在發布之前都要經過數以千計的退化測試。
比起它們解決的問題來說,第三方補丁確實造成更多問題。即使是Jesper那優秀的VML保護腳本也曾在打了普通補丁的Windows系列計算機中引起問題。
但是有了官方警告,我覺得任何擁有知識豐富的網管的公司都能夠從第三方補丁和針對危機的及時的建議中獲得好處,前提是網管有時間徹底測試第三方補丁或修正程序。有些第三方對出現的漏洞等反應很快:例如,Jesper為自己的修正程序編寫更新——他一旦注意到問題就會立刻給出建議;ZERT似乎在怎樣應用它的補丁上作了正確選擇,系統不用修改原始的那個壓縮的可執行文件。
我認為,如果一個廣泛傳播的攻擊對你的系統環境有極大危險,你應該考慮測試并使用第三方的補丁或者修正程序。管理層應當意識到第三方補丁的性質,風險并下最終決定。任何新的補丁——甚至是官方補丁——你都應當徹底測試,并且準備測試后的復原方案以防安了補丁后情況更糟。
微軟利用客戶反饋,自動工具,以及加入反病毒聯盟這些方法來了解每個新的zero-day攻擊的波及廣度。如果該攻擊波及很廣,微軟會加快正常的補丁周期,并且在下一個補丁星期二之前發布修正補丁。如果攻擊沒有廣泛傳播,通常都會是這種情況,微軟就會等到正常的發布補丁的星期二到了再發布。花正常的時間開發和測試補丁通常意味著那補丁會很穩定(最近這對微軟來說甚至變得很難做到……這就是題外話了)。
當決定按正常周期發布對付一個不是很緊急的zero-day補丁的時候,微軟也很痛苦。媒體上到處都是關于最新bug,面對騙局如何自救等等。即使是我最喜歡的dshield.org,也早早加入媒體的隊伍,抓著微軟在上百萬惡意攻擊到處蔓延的時候不立刻發布補丁的痛處不放。在最近的幾期攻擊中,所謂的“百萬惡意攻擊”波及范圍都是不超過100的。
但是別人眼中的自己才是真實的自己,在最新補丁調試階段微軟只有忍受痛苦。無論威脅是否只是適度地傳播,消費者在官方發布補丁或者其他補償保護措施(比如配置查殺程序)可用之前,只有苦苦等待。大多數用戶從來不使用替代保護方案,因此在使用官方補丁之前他們仍處于無保護狀態。
因此,很多第三方公司開始發布防護補丁,以便在官方補丁發布之前彌補空白。最集中的表現就是,新Zeroday緊急響應組(ZERT)。ZERT由一些杰出的程序員和安全專家組成,他們致力于在官方補丁滯后于大眾需要的時候提供補丁。ZERT的Z保護平臺允許人們開發和使用第三方微軟Windows補丁,并且在賣主提供補丁后允許人們卸載該第三方補丁。
另一些專業人士,比如Jesper Johansson博士,他以前是微軟的高級安全員。他建議人們使用能夠阻止zero-day代碼的補償防御措施。Jesper最近提出了一些可靠的安全修正程序,它們能夠使用組策略快速配置。
微軟以及其他很多安全專家警告用戶們不要使用第三方補丁以及修正程序。大多數用戶都應該認真聽取這些意見。首先,第三方補丁以及修正程序通常都沒有像官方補丁那樣徹底測試過。一個微軟的人員曾經告訴我,每個IE安全補丁在發布之前都要經過數以千計的退化測試。
比起它們解決的問題來說,第三方補丁確實造成更多問題。即使是Jesper那優秀的VML保護腳本也曾在打了普通補丁的Windows系列計算機中引起問題。
但是有了官方警告,我覺得任何擁有知識豐富的網管的公司都能夠從第三方補丁和針對危機的及時的建議中獲得好處,前提是網管有時間徹底測試第三方補丁或修正程序。有些第三方對出現的漏洞等反應很快:例如,Jesper為自己的修正程序編寫更新——他一旦注意到問題就會立刻給出建議;ZERT似乎在怎樣應用它的補丁上作了正確選擇,系統不用修改原始的那個壓縮的可執行文件。
我認為,如果一個廣泛傳播的攻擊對你的系統環境有極大危險,你應該考慮測試并使用第三方的補丁或者修正程序。管理層應當意識到第三方補丁的性質,風險并下最終決定。任何新的補丁——甚至是官方補丁——你都應當徹底測試,并且準備測試后的復原方案以防安了補丁后情況更糟。
禁用Scripting Host防范網頁黑手
[ 2007-03-25 04:10:27 | 作者: sun ]
來自網絡的攻擊手段越來越多了,一些惡意網頁會利用軟件或系統操作平臺等的安全漏洞,通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序、javaScript腳本語言程序、ActiveX軟件部件交互技術支持可自動執行的代碼程序,
強行修改用戶操作系統的注冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序的目的。
目前來自網頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁等,關于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統的網頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網頁黑手,它會通過IE執行ActiveX部件并調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后,會出現一個信息提示框,提示:“當前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執行?yes,no”,如果單擊“是”,那么硬盤就會被迅速格式化,而這一切都是在后臺運行的,不易被察覺。
防范的方法是:將本機的Format.com或Deltree.exe命令改名字。另外,對于莫名出現的提示問題,不要輕易回答“是”。可以按下[Ctrl+Alt+Del]組合鍵在彈出的“關閉程序”窗口中,將不能確認的進程中止執行。
黑手之二 耗盡系統資源
這種網頁黑手會執行一段Java Script代碼并產生一個死循環,以至不斷消耗本機系統資源,最后導致系統死機。它們會出現在一些惡意網站或者郵件的附件中,只要打開附件程序后,屏幕上就會出現無數個IE窗口,最后只有重新啟動計算機。
防范的方法是:不要輕易進入不了解的網站,也不要隨便打開陌生人發來的E-mail中的附件,比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用瀏覽器漏洞實現對本地文件的讀取,避免此類攻擊可以關閉禁用瀏覽器的JavaScript功能。
黑手之四 獲取控制權限
此類黑手會利用IE執行Actives時候發生,雖然說IE提供對于“下載已簽名的ActiveX控件”進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執行ActiveX控件程序,而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,并設定鍵值為0x00000400即可。
對于來自網上的種種攻擊,在提高防范意識的同時,還需做好預防工作。
1.設定安全級別
鑒于很多攻擊是通過包含有惡意腳本實現攻擊,可以提高IE的級別。在IE中執行“工具/Internet選項”命令,然后選擇“安全”選項卡,選擇“Internet”后單擊[自定義級別]按鈕,在“安全設置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”,另外設定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網站可能無法正常顯示。
2.過濾指定網頁
對于一些包含有惡意代碼的網頁,可以將其屏蔽,執行“工具/Internet選項”命令,選擇內容選項卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點”選項卡,輸入需要屏蔽網址,然后單擊[從不]按鈕,再單擊[確定]按鈕。
3.卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為后綴名的附件,打開附件后,用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設置/附件”,并單擊“詳細資料”,取消“Windows Scripting Host”選項,完成后單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標,然后執行“工具/文件夾選項”命令,選擇“文件類型”選項卡,找到“VBS VBScript Script File”選項,并單擊[刪除]按鈕,最后單擊[確定]即可。
另外,還可以升級WSH 5.6,IE瀏覽器可以被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在http://www.microsoft.com/下載最新版本的WSH。
4.禁用遠程注冊表服務
在Windows 2000/XP中,可以點擊“控制面板/管理工具/服務”,用鼠標右鍵單擊“Remote Registry”,然后在彈出的快捷方式中選擇“屬性”命令,在“常規”選項卡中單擊[停止]按鈕,這樣可以攔截部分惡意腳本代碼。
5.安裝防火墻和殺毒軟件
安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序,比如可以安裝瑞星殺毒軟件。
強行修改用戶操作系統的注冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序的目的。
目前來自網頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁等,關于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統的網頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網頁黑手,它會通過IE執行ActiveX部件并調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后,會出現一個信息提示框,提示:“當前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執行?yes,no”,如果單擊“是”,那么硬盤就會被迅速格式化,而這一切都是在后臺運行的,不易被察覺。
防范的方法是:將本機的Format.com或Deltree.exe命令改名字。另外,對于莫名出現的提示問題,不要輕易回答“是”。可以按下[Ctrl+Alt+Del]組合鍵在彈出的“關閉程序”窗口中,將不能確認的進程中止執行。
黑手之二 耗盡系統資源
這種網頁黑手會執行一段Java Script代碼并產生一個死循環,以至不斷消耗本機系統資源,最后導致系統死機。它們會出現在一些惡意網站或者郵件的附件中,只要打開附件程序后,屏幕上就會出現無數個IE窗口,最后只有重新啟動計算機。
防范的方法是:不要輕易進入不了解的網站,也不要隨便打開陌生人發來的E-mail中的附件,比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用瀏覽器漏洞實現對本地文件的讀取,避免此類攻擊可以關閉禁用瀏覽器的JavaScript功能。
黑手之四 獲取控制權限
此類黑手會利用IE執行Actives時候發生,雖然說IE提供對于“下載已簽名的ActiveX控件”進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執行ActiveX控件程序,而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,并設定鍵值為0x00000400即可。
對于來自網上的種種攻擊,在提高防范意識的同時,還需做好預防工作。
1.設定安全級別
鑒于很多攻擊是通過包含有惡意腳本實現攻擊,可以提高IE的級別。在IE中執行“工具/Internet選項”命令,然后選擇“安全”選項卡,選擇“Internet”后單擊[自定義級別]按鈕,在“安全設置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”,另外設定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網站可能無法正常顯示。
2.過濾指定網頁
對于一些包含有惡意代碼的網頁,可以將其屏蔽,執行“工具/Internet選項”命令,選擇內容選項卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點”選項卡,輸入需要屏蔽網址,然后單擊[從不]按鈕,再單擊[確定]按鈕。
3.卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為后綴名的附件,打開附件后,用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設置/附件”,并單擊“詳細資料”,取消“Windows Scripting Host”選項,完成后單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標,然后執行“工具/文件夾選項”命令,選擇“文件類型”選項卡,找到“VBS VBScript Script File”選項,并單擊[刪除]按鈕,最后單擊[確定]即可。
另外,還可以升級WSH 5.6,IE瀏覽器可以被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在http://www.microsoft.com/下載最新版本的WSH。
4.禁用遠程注冊表服務
在Windows 2000/XP中,可以點擊“控制面板/管理工具/服務”,用鼠標右鍵單擊“Remote Registry”,然后在彈出的快捷方式中選擇“屬性”命令,在“常規”選項卡中單擊[停止]按鈕,這樣可以攔截部分惡意腳本代碼。
5.安裝防火墻和殺毒軟件
安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序,比如可以安裝瑞星殺毒軟件。
現在很多單位都配置了局域網,為了便于進行網絡管理,同時為了提高的登錄網絡的速度,網管人員一般都為局域網中的每臺電腦都指定了IP地址。但是在Windows環境下其他用戶很容易修改IP地址配置,這樣就很容易造成IP地址沖突等故障,不利于網絡的正常管理。
因此,最好能為IP地址加上一把“鎖”,這樣別人就不能輕易更改IP地址了。
在Windows 2000/XP中存在Netcfgx.dll,Netshell.dll和Netman.dll三個動態庫文件,它們實際上是系統控件,在Windows 2000/XP的安裝過程中會自動注冊這些控件。這三個控件和Windows 2000/XP的網絡功能緊密相關。當修改IP地址時,就需要用到這三個控件。因此,只要將上述三個控件卸載,就可以屏蔽網絡連接窗口,這樣無論是雙擊桌面上的網上鄰居圖標,還是在控制面板中雙擊“網絡連接”項,都無法正常進入網絡連接窗口,也就無法在本地連接屬性窗口中修改IP地址了。
在“開始/運行”中輸入“Cmd.exe”,確認后打開CMD窗口,在其中分別執行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”命令,就可以將上述控件從系統中卸載。當然,如果以后需要修改IP地址的話,可以上述控件逐一注冊即可。注冊的方法很簡單,只要將上述命令中的“/u”參數去掉,就可以執行注冊操作了。例如執行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注冊。
因此,最好能為IP地址加上一把“鎖”,這樣別人就不能輕易更改IP地址了。
在Windows 2000/XP中存在Netcfgx.dll,Netshell.dll和Netman.dll三個動態庫文件,它們實際上是系統控件,在Windows 2000/XP的安裝過程中會自動注冊這些控件。這三個控件和Windows 2000/XP的網絡功能緊密相關。當修改IP地址時,就需要用到這三個控件。因此,只要將上述三個控件卸載,就可以屏蔽網絡連接窗口,這樣無論是雙擊桌面上的網上鄰居圖標,還是在控制面板中雙擊“網絡連接”項,都無法正常進入網絡連接窗口,也就無法在本地連接屬性窗口中修改IP地址了。
在“開始/運行”中輸入“Cmd.exe”,確認后打開CMD窗口,在其中分別執行“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”、“Regsvr32 /u Netcfgx.dll”命令,就可以將上述控件從系統中卸載。當然,如果以后需要修改IP地址的話,可以上述控件逐一注冊即可。注冊的方法很簡單,只要將上述命令中的“/u”參數去掉,就可以執行注冊操作了。例如執行命令“Regsvr32 Netcfgx.dll”就完成了控件Netcfgx.dll的注冊。
一勞永逸 如何完全屏蔽ActiveX插件
[ 2007-03-25 04:10:02 | 作者: sun ]
很多朋友在瀏覽網頁的時候會遇到瀏覽器“卡死”的情況,這多半是因為該網頁中有嵌入式的ActiveX插件需要提示安裝。為了對付這個問題,市面上有很多相關的“免疫”軟件,如NoTroubleMe等,而且Windows XP SP2中也提供了該功能。不過這些思路都比較被動,如果遇到新的ActiveX程序,他們就無能為力了。下面筆者來介紹自己的解決方案。
1. 屏蔽ActiveX插件的思路
其實對我們真正有用的ActiveX插件畢竟是少數,就普通網友來說不外乎有:Windows Update控件、Flash控件這兩種必需的,當然有些朋友可能還想使用銀行在線系統或者其它服務需要安裝ActiveX。我們其實可以將這些有用的 ActiveX都進行安裝,接下來在瀏覽器設置中屏蔽所有ActiveX插件的在線安裝,這樣以后不管有什么ActiveX都不為彈出來了。
2. 一勞永逸的設置實戰
第一步:首先使用IE訪問你需要安裝ActiveX插件的頁面,比如微軟的Windows Update站點、帶有Flash的站點等,在提示安裝ActiveX的時候選擇“是”進行安裝。
第二步:所有的ActiveX都安裝完畢后,在IE中選擇“工具→Internet選項”,切換到“安全”標簽,點擊“自定義級別”按鈕,在彈出的 “安全設置”窗口中將“下載未簽名的ActiveX控件”和“下載已簽名的ActiveX控件”兩項都設置為“禁用”。最后保存退出即可,如圖所示。
當遇到某些網站的ActiveX確認是需要你安裝的時候,將上述設置恢復為“默認”,再刷新頁面進行安裝即可,裝完后再重新設置為“禁用”。
1. 屏蔽ActiveX插件的思路
其實對我們真正有用的ActiveX插件畢竟是少數,就普通網友來說不外乎有:Windows Update控件、Flash控件這兩種必需的,當然有些朋友可能還想使用銀行在線系統或者其它服務需要安裝ActiveX。我們其實可以將這些有用的 ActiveX都進行安裝,接下來在瀏覽器設置中屏蔽所有ActiveX插件的在線安裝,這樣以后不管有什么ActiveX都不為彈出來了。
2. 一勞永逸的設置實戰
第一步:首先使用IE訪問你需要安裝ActiveX插件的頁面,比如微軟的Windows Update站點、帶有Flash的站點等,在提示安裝ActiveX的時候選擇“是”進行安裝。
第二步:所有的ActiveX都安裝完畢后,在IE中選擇“工具→Internet選項”,切換到“安全”標簽,點擊“自定義級別”按鈕,在彈出的 “安全設置”窗口中將“下載未簽名的ActiveX控件”和“下載已簽名的ActiveX控件”兩項都設置為“禁用”。最后保存退出即可,如圖所示。
當遇到某些網站的ActiveX確認是需要你安裝的時候,將上述設置恢復為“默認”,再刷新頁面進行安裝即可,裝完后再重新設置為“禁用”。
如何防止電腦被黑客入侵
[ 2007-03-25 04:09:51 | 作者: sun ]
我們的防火墻是不是經常有人來攻擊你XXX端口呢?如果關掉相應沒有用處的端口不就好了嗎?
一般來說,我們采用一些功能強大的反黑軟件和防火墻來保證我們的系統安全,本文擬用一種簡易的辦法——通過限制端口來幫助大家防止非法入侵-----如何關閉系統中的一些端口,同時如何關閉WINDOWS 下的默認共享C$、D$、Admin$、IPC$等等。
非法入侵的方式
簡單說來,非法入侵的方式可粗略分為4種:
1、掃描端口,通過已知的系統Bug攻入主機。
2、種植木馬,利用木馬開辟的后門進入主機。
3、采用數據溢出的手段,迫使主機提供后門進入主機。
4、利用某些軟件設計的漏洞,直接或間接控制主機。
非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對后兩種方式來說,只有一些手段高超的黑客才利用,波及面并不廣泛,而且只要這兩種問題一出現,軟件服務商很快就會提供補丁,及時修復系統。
因此,如果能限制前兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個共同點,就是通過端口進入主機。
端口就像一所房子(服務器)的幾個門一樣,不同的門通向不同的房間(服務器提供的不同服務)。我們常用的FTP默認端口為21,而WWW網頁一般默認端口是80。但是有些馬虎的網絡管理員常常打開一些容易被侵入的端口服務,比如139等;還有一些木馬程序,比如冰河、BO、廣外等都是自動開辟一個您不察覺的端口。那么,只要我們把自己用不到的端口全部封鎖起來,不就杜絕了這兩種非法入侵嗎?
這里舉例關閉的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,還有TCP,其他我就不一一指出了。
具體操作如下:
默認情況下,Windows有很多端口是開放的,在你上網的時候,網絡病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統變為銅墻鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389。下面介紹如何在WinXP/2000/2003下關閉這些網絡端口。
第一步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,于是彈出一個向導。在向導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
點擊“確定”后回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應的篩選器。
再重復以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然后點擊其左邊的圓圈上加一個點,表示已經激活,最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作:在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然后點擊“確定”按鈕。
第五步、進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“指派”。
這時候你就可以電腦了,重新啟動后,電腦中上述網絡端口就被關閉了,在這時候病毒和黑客應該是已經不能連上這些端口了,從而保護了你的電腦
以下要說的是怎樣關閉WINDOWS下的默認共享C$、D$、Admin$和IPC$等等。
大家應該知道在WINDOWS 2000和WINDOWS XP下會有默認的共享,病毒和黑客也可以通過這個途徑進入你的電腦,從而來毀壞你的文件甚至遠程控制你的電腦,這時就應該刪除這些默認的共享(其實這些默認的共享對于你個人來說,只是有百害而無一利,這時我個人的看法噢,有意見大家提喲)。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然后單擊“添加”按鈕添加新的規則,隨后彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
這里要先說WINDOWS XP的操作系統,XP可不比2000那么容易對付啰,在我還沒找到方法之前,在QQ上碰到“封情絕愛”,問了一下,沒想到當時他也沒有想到方法,過了15鐘左右,當時我在網上已經查到用net share *$ /del這個方法時,“封情”也同時告訴我要用這個命令,真是英雄所見略同。
如果你只是偶爾很少用的電腦,你可以在“開始”菜單里選擇“運行”,然后在里面輸入“net share *$ /del”(*代表你要刪除的共享的名稱)就可以了。但是在下次開機以后還會有這個默認的共享,怎么樣才能徹底完全的在開機后就關閉這些默認共享呢,Follow me ,let’s go.
現在就要說如何在開機后,WINDOWS會自動關閉所有的默認共享,WINDOWS 2000和WINDOWS XP在這里也是大同小異,在“開始”菜單里選擇“運行”,填入“regedit”,打開注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支,在其下新建“字符串值”,命名可隨意,比如“delshareC$”,鼠標右鍵單擊,在彈出的快捷菜單中左鍵單擊“修改”,在接著出現的“編輯字符串”窗口的“數值數據”一欄中輸入“net share C$ /del”(不包括引號)按“確定”按鈕。同理添加“字符串值”如“delshareD$”,“數值數據”為“net share D$ /del”等,有幾個分區就加到哪為止,包括“net share Admin$ /del”等等,注意:這里有大小寫之分。之后保存注冊表重啟計算機,就能實現開機自動關閉這些特殊共享資源了。
但是,大家有沒有發現,“net share IPC$ /del”這個命令對于“IPC$”根本就不起任何作用,它還是保持著默認共享怎么辦???(實際上做到這一步已經夠了,無需在關閉IPC$了)
在這里呢,我還要感謝我的培訓老師“Mozart”,是他指導了我怎樣才能永久關閉IPC$和默認共享依賴的服務:lanmanserver即server服務,還需要到“控制面板”里的“管理工具”內,找到“服務”在到“server服務”(右擊)進入“屬性”,點擊“常規”,在“啟動類型”這一項中選擇“已禁用”,這樣就關閉了IPC$的默認共享。但是這就會產生一定的負面效應,一旦你關閉了了IPC$的默認共享,很多的Server服務你就不能利用,同時也可能會發生你不能訪問局域網內的其他電腦,請慎用!!
寫到這里手也酸了,也快下班了,希望這篇文章能夠對大家有所幫助,也歡迎轉帖到其他論壇,但是請尊重中華盾,也請尊重本人的勞動成果,請在轉載時標注明原創者是中華盾的血衣少,謝謝!!
一般來說,我們采用一些功能強大的反黑軟件和防火墻來保證我們的系統安全,本文擬用一種簡易的辦法——通過限制端口來幫助大家防止非法入侵-----如何關閉系統中的一些端口,同時如何關閉WINDOWS 下的默認共享C$、D$、Admin$、IPC$等等。
非法入侵的方式
簡單說來,非法入侵的方式可粗略分為4種:
1、掃描端口,通過已知的系統Bug攻入主機。
2、種植木馬,利用木馬開辟的后門進入主機。
3、采用數據溢出的手段,迫使主機提供后門進入主機。
4、利用某些軟件設計的漏洞,直接或間接控制主機。
非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對后兩種方式來說,只有一些手段高超的黑客才利用,波及面并不廣泛,而且只要這兩種問題一出現,軟件服務商很快就會提供補丁,及時修復系統。
因此,如果能限制前兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個共同點,就是通過端口進入主機。
端口就像一所房子(服務器)的幾個門一樣,不同的門通向不同的房間(服務器提供的不同服務)。我們常用的FTP默認端口為21,而WWW網頁一般默認端口是80。但是有些馬虎的網絡管理員常常打開一些容易被侵入的端口服務,比如139等;還有一些木馬程序,比如冰河、BO、廣外等都是自動開辟一個您不察覺的端口。那么,只要我們把自己用不到的端口全部封鎖起來,不就杜絕了這兩種非法入侵嗎?
這里舉例關閉的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,還有TCP,其他我就不一一指出了。
具體操作如下:
默認情況下,Windows有很多端口是開放的,在你上網的時候,網絡病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統變為銅墻鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389。下面介紹如何在WinXP/2000/2003下關閉這些網絡端口。
第一步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,于是彈出一個向導。在向導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
點擊“確定”后回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應的篩選器。
再重復以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然后點擊其左邊的圓圈上加一個點,表示已經激活,最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作:在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然后點擊“確定”按鈕。
第五步、進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“指派”。
這時候你就可以電腦了,重新啟動后,電腦中上述網絡端口就被關閉了,在這時候病毒和黑客應該是已經不能連上這些端口了,從而保護了你的電腦
以下要說的是怎樣關閉WINDOWS下的默認共享C$、D$、Admin$和IPC$等等。
大家應該知道在WINDOWS 2000和WINDOWS XP下會有默認的共享,病毒和黑客也可以通過這個途徑進入你的電腦,從而來毀壞你的文件甚至遠程控制你的電腦,這時就應該刪除這些默認的共享(其實這些默認的共享對于你個人來說,只是有百害而無一利,這時我個人的看法噢,有意見大家提喲)。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然后單擊“添加”按鈕添加新的規則,隨后彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
這里要先說WINDOWS XP的操作系統,XP可不比2000那么容易對付啰,在我還沒找到方法之前,在QQ上碰到“封情絕愛”,問了一下,沒想到當時他也沒有想到方法,過了15鐘左右,當時我在網上已經查到用net share *$ /del這個方法時,“封情”也同時告訴我要用這個命令,真是英雄所見略同。
如果你只是偶爾很少用的電腦,你可以在“開始”菜單里選擇“運行”,然后在里面輸入“net share *$ /del”(*代表你要刪除的共享的名稱)就可以了。但是在下次開機以后還會有這個默認的共享,怎么樣才能徹底完全的在開機后就關閉這些默認共享呢,Follow me ,let’s go.
現在就要說如何在開機后,WINDOWS會自動關閉所有的默認共享,WINDOWS 2000和WINDOWS XP在這里也是大同小異,在“開始”菜單里選擇“運行”,填入“regedit”,打開注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]分支,在其下新建“字符串值”,命名可隨意,比如“delshareC$”,鼠標右鍵單擊,在彈出的快捷菜單中左鍵單擊“修改”,在接著出現的“編輯字符串”窗口的“數值數據”一欄中輸入“net share C$ /del”(不包括引號)按“確定”按鈕。同理添加“字符串值”如“delshareD$”,“數值數據”為“net share D$ /del”等,有幾個分區就加到哪為止,包括“net share Admin$ /del”等等,注意:這里有大小寫之分。之后保存注冊表重啟計算機,就能實現開機自動關閉這些特殊共享資源了。
但是,大家有沒有發現,“net share IPC$ /del”這個命令對于“IPC$”根本就不起任何作用,它還是保持著默認共享怎么辦???(實際上做到這一步已經夠了,無需在關閉IPC$了)
在這里呢,我還要感謝我的培訓老師“Mozart”,是他指導了我怎樣才能永久關閉IPC$和默認共享依賴的服務:lanmanserver即server服務,還需要到“控制面板”里的“管理工具”內,找到“服務”在到“server服務”(右擊)進入“屬性”,點擊“常規”,在“啟動類型”這一項中選擇“已禁用”,這樣就關閉了IPC$的默認共享。但是這就會產生一定的負面效應,一旦你關閉了了IPC$的默認共享,很多的Server服務你就不能利用,同時也可能會發生你不能訪問局域網內的其他電腦,請慎用!!
寫到這里手也酸了,也快下班了,希望這篇文章能夠對大家有所幫助,也歡迎轉帖到其他論壇,但是請尊重中華盾,也請尊重本人的勞動成果,請在轉載時標注明原創者是中華盾的血衣少,謝謝!!
輕松玩轉天網防火墻IP規則
[ 2007-03-25 04:09:34 | 作者: sun ]
現在的互聯網并非一片凈土,為了防范來自網絡的攻擊,很多初學的朋友也安裝了防火墻軟件來保護自己,可是如何用防火墻更加實用呢?下面,就跟隨筆者一塊,以天網防火墻為例,通過它支持自定義規則的功能,滿足不同類型用戶的需求,避免“防住了別人也阻止了自己”的尷尬。
小知識:IP規則是一系列的比較條件和一個對數據包的動作組合,它能根據數據包的每一個部分來與設置的條件進行比較。當符合條件時,就可以確定對該包放行或者阻擋。通過合理的設置規則可以把有害的數據包擋在你的機器之外,也可為某些有合法網絡請求的程序開辟綠色通道。
添加規則
雖然天網中已經設置好了很多規則,可是每個人有每個人的情況,還要根據自己的情況來制定自己的規則(在天網防火墻的IP規則列表中,位于前端的規則會首先動作,并且忽略后面有相關聯系的規則,從而使為特別網絡服務開辟綠色通道成為可能)。比如,筆者在自己的機器中創建了一個FTP服務器,用來和朋友們分享各類資源,但朋友們反映不能連接。仔細查找,發現原來是天網在“作怪”!現在就給FTP設置一條特別的IP規則方便使用。
單擊系統托盤中的天網圖標打開程序界面,在主界面的左側點擊第二個圖標“IP規則管理”。
點擊“增加規則”按鈕,彈出“增加IP規則”窗口,在“名稱”中輸入一個將要顯示在IP規則列表中的名字,在下方的“說明”中填寫對該條規則的描述,防止以后忘了該規則的用途。因為筆者建立的FTP服務器需要與朋友們交換數據,因此在“數據包方向”中通過下拉菜單選中“接收和發送”;如果朋友們都沒有固定的IP地址,可在“對方IP地址”中選擇“任何地址”;另外,由于FTP服務器基于TCP/IP協議,并且需要開放本機的21端口,因此在“數據包協議類型”中選擇“TCP”協議,在“本地端口”中輸入“0”和“21”開放該端口。由于不限制對方使用何種端口進行連接,所以可在“對方端口”中保持默認的“0”;最后,在“當滿足上面條件時”的下拉菜單中選擇“通行”來放行即可。
經過上面的設置,本機的21端口就被打開了。返回天網主界面,選中新創建的“FTP”規則,按住“↑”將其移動到“TCP 數據包監視”規則的下方,以跳過最嚴厲的“禁止所有人連接”規則,然后點擊“保存規則”保存設置。現在重新啟動天網防火墻即可生效。
提示:如果想在天網的連接日志中記錄朋友們的訪問IP情況,可以在“同時還”中勾選“記錄”選項。
備份與恢復規則
如果你已經創建或修改了很多的IP規則,當需要重新安裝系統或天網的時候還要來設置這些規則。因此,采用導出后備份,當需要時再導入恢復是最簡單的方法。
點擊“導出規則”按鈕,打開導出設置窗口,在“文件名”中設定保存備份的文件夾,在下方的IP規則列表中選中自己創建的IP規則(也可點擊“全選”按鈕備份全部IP規則),點擊“確定”后即可導出進行備份了。
當需要恢復時,只有點擊“導入規則”,通過“打開”窗口找到并雙擊備份的IP規則文件即可導入了。
現在我們已經了解了天網的IP規則設置的方法,以后再也不怕天網防火墻將我們的合法程序擋在門外了。也許有朋友會問:我安裝的網絡服務程序不使用常見端口,不知道它需要開放哪些端口怎么辦?沒關系,再教你一個最簡單的方法:啟動被阻止的程序,打開天網防火墻的安全日志,看看它到底阻止了哪個端口,哪個端口就是需要用IP規則開放的端口。
