本文目录一览:
黑客用个人电脑还是服务器?怎样防黑防木马?
近来黑客攻击事件频频发生,我们身边的朋友也不断有QQ、E-mail和游戏账号被盗事件发生。现在的黑客技术有朝着大众化方向发展的趋势,能够掌握攻击他人系统技术的人越来越多了,只要你的电脑稍微有点系统Bug或者安装了有问题的应用程序,就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢?
一、要命的端口
计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控制我们的电脑,也要从某些端口连接进来。某日笔者查看了一位朋友的系统,吃惊地发现开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,他可以通过这个端口取得系统的完全控制权。
在Windows 98下,通过“开始”选取“运行”,然后输入“command”(Windows 2000/XP/2003下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。
那怎么关闭这些端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要我们停止该服务或者卸载该程序,这些端口就自动关闭了。例如可以在“我的电脑 →控制面板→计算机管理→服务”中停止Radmin服务,就可以关闭4899端口了。
如果暂时没有找到打开某端口的服务或者停止该项服务可能会影响计算机的正常使用,我们也可以利用防火墙来屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网“自定义IP规则”界面,点击“增加规则”添加一条新的规则,在“数据包方向”中选择“接受”,在“对方IP地址”中选择“任何地址”,在TCP选项卡的本地端口中填写从4899到0,对方端口填写从0到0,在“当满足上面条件时”中选择“拦截”,这样就可以关闭4899端口了。其他的端口关闭方法可以此类推。
二、敌人的“进程”
在Windows 2000下,可以通过同时按下“Ctrl+Alt+Del”键调出任务管理器来查看和关闭进程;但在Windows 98下按“Ctrl+Alt+del”键只能看到部分应用程序,有些服务级的进程却被隐藏因而无法看到了,不过通过系统自带的工具msinfo32还是可以看到的。在“开始→运行”里输入msinfo32,打开“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 98下要想终止进程,还是得通过第三方的工具。很多系统优化软件都带有查看和关闭进程的工具,如春光系统修改器等。
但目前很多木马进程都会伪装系统进程,新手朋友很难分辨其真伪,所以这里推荐一款强大的杀木马工具——“木马克星”,它可以查杀8000多种国际木马,1000多种密码偷窃木马,功能十分强大,实在是安全上网的必备工具!
三、小心,远程管理软件有大麻烦
现在很多人都喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也给我们带来了很多安全隐患。例如Pcanywhere 10.0版本及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问题,一旦入侵者通过某种途径得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理员账号和密码。
服务器系统的安全性那么重要,怎么避免黑客木马攻击?
建议你使用腾讯电脑管家
1、广告过滤,能避免很多附带病毒弹窗网页和广告的侵袭
2、电脑诊所,随时都可以检测你目前的电脑状态
3、无论是恶意文件还是木马病毒,在严密保护的同时,也拥有给力的查杀功能
很值得使用!
怎么防止木马攻击?
ASP木马攻击原理一般是通过文件上传漏洞,传送木马文件到服务器里,然后运行就可以读取你系统里的所有资料了。一般的ASP木马文件是利用FSO组件进行操作的,也有不用FSO组件的。针对如上情况,要如何去防止ASP木马,就必须做好如下三方面:
1、服务器的权限设置
2、做好ASP程序的验证功能,防止有漏洞被利用
3、关闭或更改相关的组件名称
1,2两方面可以查阅创新思维网站的相关文章,在这里主要是说第3个方面
1)针对利用FSO写的ASP木马的防止办法是最好的防止方式是把FSO功能关掉
在开始--运行处输入:Regsvr32
/u
c:\windows\system32\scrrun.dll
如果想再用该组件可以在运行处再输入
Regsvr32
c:\windows\system32\scrrun.dll
重新注册一下便可以用了。
网络上现在有些文章在说在
查找注册表中
HKEY_CLASSES_ROOT\Scripting.FileSystemObject
键值
将其更改成为你想要的字符串(右键--"重命名"),比如更改成为
HKEY_CLASSES_ROOT\Scripting.FileSystemObject2
这样,在ASP就必须这样引用这个对象了:
Set
fso
=
CreateObject("Scripting.FileSystemObject2")
而不能使用:
Set
fso
=
CreateObject("Scripting.FileSystemObject")
这种方法是行不通的,因为FSO除了用对象调用,还可以用调用classid
比如:object
runat="server"
id="fso"
scope="page"
classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"/object
这样也能调用
所以说要改的话还行查找0D43FE01-F093-11CF-8940-00A0C9054228这个键值,然后改掉,但是这样改完以后FSO也就不能用了。所以推荐还是把组件关掉,如果要上传的话可以自行编写一个上传组件。这样会安全一些。
(2)免FSO对像就能使用的ASP木马防范方法
通过上面的代码,我们可以看出这段代码的SHELL是通过shell.application
建立
shell
对像的,我们只要在注册表里查找键值shell.application,shell.application.1和
wscript.shell,wscript.shell.1
键值,然后把这些键值删除,就能防止这一类的ASP木马攻击了,删除这些键值对你的服务器及ASP支持等不会造成影响的,所以请放心删除。
各黑客网站上还有各种各样的WEBSHELL下载,除了ASP的WEBSHELL以外,还有CGI、PHP、JSP的等等。基本上都是大同小异的,还有一些WEBSHELL是调用系统下的CMD.EXE命令运行的。但这些调用服务器系统CMD.EXE的WEBSHELL木马在Win2003下没法运行了,能调用CMD.EXE命令的WEBSHELL只在Win2K下测试通过,在Win2003下,那些ASP、CGI、PHP、JSP的WEBSHELL已经不能调用CMD.EXE的命令了。原因很简单,因为Win2K下的CMD.EXE命令在默认情况下是能以匿名及来宾权限访问的,而Win2003系统下,CMD.EXE命令却禁止了“Everyone”匿名访问及“Guests”组的访问权限了,所以各种调用CMD.EXE的WEBSHELL木马都没法运行了,这也算是Win2003系统安全上的一点进步吧。
当然第个对像都有相应的classid值,一样找出来进行删除
wscript.shell
(classid:72c24dd5-d70a-438b-8a42-98424b88afb8)
wscript.shell.1
(classid:f935dc22-1cf0-11d0-adb9-00c04fd58a0b)
wscript.network
(classid:093ff999-1ea0-4079-9525-9614c3504b74)
wscript.network.1
(classid:093ff999-1ea0-4079-9525-9614c3504b74)
adodb.stream
(classid:{00000566-0000-0010-8000-00aa006d2ea4})
经过如上处理后,哪怕是有ASP木马传到你的服务器,也能阻止它的一些破坏行为。
网站服务器如何防止木马攻击?
ASP木马攻击原理一般是通过文件上传漏洞,传送木马文件到服务器里,然后运行就可以读取你系统里的所有资料了。一般的ASP木马文件是利用FSO组件进行操作的,也有不用FSO组件的。针对如上情况,要如何去防止ASP木马,就必须做好如下三方面: 1、服务器的权限设置 2、做好ASP程序的验证功能,防止有漏洞被利用 3、关闭或更改相关的组件名称 1,2两方面可以查阅创新思维网站的相关文章,在这里主要是说第3个方面 1)针对利用FSO写的ASP木马的防止办法是最好的防止方式是把FSO功能关掉 在开始--运行处输入:Regsvr32 /u c:\windows\system32\scrrun.dll 如果想再用该组件可以在运行处再输入 Regsvr32 c:\windows\system32\scrrun.dll 重新注册一下便可以用了。 网络上现在有些文章在说在 查找注册表中 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值 将其更改成为你想要的字符串(右键--"重命名"),比如更改成为 HKEY_CLASSES_ROOT\Scripting.FileSystemObject2 这样,在ASP就必须这样引用这个对象了: Set fso = CreateObject("Scripting.FileSystemObject2") 而不能使用: Set fso = CreateObject("Scripting.FileSystemObject") 这种方法是行不通的,因为FSO除了用对象调用,还可以用调用classid 比如: 这样也能调用 所以说要改的话还行查找0D43FE01-F093-11CF-8940-00A0C9054228这个键值,然后改掉,但是这样改完以后FSO也就不能用了。所以推荐还是把组件关掉,如果要上传的话可以自行编写一个上传组件。这样会安全一些。 (2)免FSO对像就能使用的ASP木马防范方法 通过上面的代码,我们可以看出这段代码的SHELL是通过shell.application 建立 shell 对像的,我们只要在注册表里查找键值shell.application,shell.application.1和 wscript.shell,wscript.shell.1 键值,然后把这些键值删除,就能防止这一类的ASP木马攻击了,删除这些键值对你的服务器及ASP支持等不会造成影响的,所以请放心删除。 各黑客网站上还有各种各样的WEBSHELL下载,除了ASP的WEBSHELL以外,还有CGI、PHP、JSP的等等。基本上都是大同小异的,还有一些WEBSHELL是调用系统下的CMD.EXE命令运行的。但这些调用服务器系统CMD.EXE的WEBSHELL木马在Win2003下没法运行了,能调用CMD.EXE命令的WEBSHELL只在Win2K下测试通过,在Win2003下,那些ASP、CGI、PHP、JSP的WEBSHELL已经不能调用CMD.EXE的命令了。原因很简单,因为Win2K下的CMD.EXE命令在默认情况下是能以匿名及来宾权限访问的,而Win2003系统下,CMD.EXE命令却禁止了“Everyone”匿名访问及“Guests”组的访问权限了,所以各种调用CMD.EXE的WEBSHELL木马都没法运行了,这也算是Win2003系统安全上的一点进步吧。 当然第个对像都有相应的classid值,一样找出来进行删除 wscript.shell (classid:72c24dd5-d70a-438b-8a42