发新帖

黑客及木马攻击常见端口的关闭

[复制链接]
626 3 打印 上一主题 下一主题
楼主
四院澎湃叔  新手上路  发表于 2012-11-28 23:45:34 | 只看该作者
好好学习了,真的不错哦

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
、停止服务名为Wi  Client和Network Co ectio  Sharing的两项服务
、删除c:Wi tSYSTEMWi 目录下的DLLHOST.EXE和SVCHOST.EXE文件
、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值
999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
、使用进程管理工具将notpa.exe进程结束
、删除c:Windows目录下的notpa.exe程序
、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中包含c:Windows otpa.exe /o=yes的键值
00端口的关闭:
这个端口是木马程序黑洞00的默认服务端口,该木马清除方法如下:
、首先使用进程管理软件将进程Windows.exe杀掉
、删除c:Wi tsystem目录下的Windows.exe和S_Server.exe文件
、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
Ru ervices项中名为Windows的键值
、将HKEY_CLA ES_ROOT和HKEY_LOCAL_MACHINESoftwareCLA ES项中的Winvxd项删除
5、修改HKEY_CLA ES_ROOT xtfileshellopencommand项中的c:Wi tsystemS_SERVER.EXE %为C:Wi TNOTEPAD.EXE %
6、修改HKEY_LOCAL_MACHINESoftwareCLA ES xtfileshellopencommand
项中的c:Wi tsystemS_SERVER.EXE %键值改为
C:Wi TNOTEPAD.EXE %
0端口的关闭:
这个端口是木马程序Ri er的默认服务端口,该木马清除方法如下:
、使用进程管理工具结束sysrunt.exe进程
、删除c:Windows目录下的sysrunt.exe程序文件
、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
、重新启动系统
58端口的关闭:
这个端口是木马程序Wincrash v的默认服务端口,该木马清除方法如下:
、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中的WinManager = "c:Window erver.exe"键值
、编辑Win.ini文件,将run=c:Window erver.exe改为run=后保存退出
、重新启动系统后删除C:Window ystem SERVER.EXE
89端口的关闭:
首先说明89端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
Win000关闭的方法:
、Win000server 开始程序管理工具服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
、Win000pro开始设置控制面板管理工具服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上点右键选属性远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了m last蠕虫,清除该蠕虫的方法如下:
、使用进程管理工具结束m last.exe的进程
、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
项中的"Windows auto update"="m last.exe"键值
、删除c:Wi tsystem目录下的m last.exe文件
899端口的关闭:
首先说明899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭899端口:
、请在开始运行中输入cmd(98以下为command),然后 cd C:Wi tsystem(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uni tall /silence
、到C:Wi tsystem(系统目录)下删除r_server.exe admdll.dll
raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Wi tfontsexplorer.exe)
、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Wi texplorer.exe)
、删除C:Wi tfonts中的explorer.exe程序。
、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun项中的Explorer键值。
5、重新启动机器。
69端口的关闭:
首先说明69端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭
关闭69端口:
、选择开始设置控制面板管理工具服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
、到c:Wi tsystem(系统目录)下将DWRCS.EXE程序删除。
、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet00Services项中的DWRCS键值删除
667端口的关闭:
667端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
、启动到安全模式下,删除c:Wi tsystem下的DIAGFG.EXE文件
、到c:Wi t目录下找到regedit.exe文件,将该文件的后缀名改为.com
、选择开始运行输入regedit.com进入注册表编辑页面
、修改HKEY_CLA ES_ROOTexefileshellopencommand项的键值为
"%" %*
5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRu ervices项中名字为Diagnostic Configuration的键值
6、将c:Wi t下的regedit.com改回到regedit.exe
6670、677端口的关闭:
这些端口是木马程序DeepThroat v.0 - .默认的服务端口,清除该木马的方法如下:
、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run项中的‘System‘=c:Window ystem.exe键值(版本.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本.0-.0)键值
、重新启动机器后删除c:Window ystem.exe(版本.0)或c:Window ystemsystray.exe(版本.0-.0)
699 端口的关闭:
这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:
、编辑注册表,删除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRu ervices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRu ervicesOnce
四项中所有包含Msgsrv6 ="msgserv6.exe"的键值
、重新启动机器后删除C:Window ystem目录下的msgserv6.exe文件
6969端口的关闭:
这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:
、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services项中的

精彩评论3

3
请叫我瘦美人儿  新手上路  发表于 2012-11-29 06:10:57 | 只看该作者
恩,我觉得值得学习啊,顶你
4
murus  乞丐  发表于 2013-12-18 17:52:16 | 只看该作者
这是什么东东啊
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表