防范后门和木马程序-emailwht-ChinaUnix博客

Robert's&nbsp;Logwht.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

emailwht

博客访问： 5381303
博文数量： 890
博客积分： 12876
博客等级：上将
技术积分： 10760
用户组：普通用户
注册时间： 2004-10-04 14:18

个人简介

猝然临之而不惊，无故加之而不怒。

文章分类

全部博文（890）

Oracle（36）
虚拟化（5）
服务器（45）
安防技术（3）
网络技术（101）

CISCO（49）
关注农村（4）
房地产（8）
我家宝宝（33）
随思所想（181）
Novell（11）
PHP&SQL（19）
Windows（142）
English（3）
创业积累（21）
网络文摘（112）
图像设计（2）
Linux（164）

apache（0）

postfix（37）

iptables（13）

Squid（17）

Shell（12）
未分配的博文（0）

文章存档

2016年（1）

2014年（18）

2013年（41）

2012年（48）

2011年（65）

2010年（84）

2009年（121）

2008年（101）

2007年（129）

2006年（95）

2005年（118）

2004年（69）

我的朋友

最近访客

推荐博文

防范后门和木马程序

分类：

2004-10-28 07:43:43

后门和木马程序是一种可以远程控制别人计算机的程序，一旦自己的计算机被安装了后门或木马程序，该程序可能会窃取用户信息，包括用户输入的各种密码，将这些信息发送出去，或者，使得别人可以通过网络控制这些计算机，窃取计算机中的用户信息和文件。后门和木马程序可以通过网络传播，例如通过浏览网页、通过邮件等等方式。很多后门或木马软件无法被Norton，金山等杀毒软件识别。

=安全检查解决方案=

下载 ,
在DOS提示符下使用fport命令查看是否有开放的木马端口存在。
木马特征端口：113，3389，4899，5800，5900，6129，1092，20168，45576 等

113端口木马的清除：
1.如果我们用fport看到如下结果：
Pid　Process　　　 Port　 Proto Path
392 svchost　 -> 113　 TCP　C:WINNTsystem32vhos.exe　
　我们就可以初步确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为 c:winntsystem32下。
2.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。
3.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。
4.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如 rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）
5.重新启动机器。

3389端口的关闭：
　首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，建议关闭该服务。
　win2000 server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
　win2000 pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
windows xp关闭的方法：在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：
　首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
　
关闭4899端口：请在开始-->运行中输入cmd(win98以下为command),然后cd C:winntsystem32(你的系统安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:winntsystem32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件

5800，5900端口：
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:winntfontsexplorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:winntexplorer.exe)
3.删除C:winntfonts中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的Explorer项。
5.重新启动机器。

6129端口的关闭：
首先说明6129端口是一个远程控制软件（DameWare nt utilities)服务端监听得端口。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。关闭6129端口：选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。
到c:winntsystem32(系统目录）下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。
　
1092端口和20168端口：
LoveGate蠕虫相关信息请参见：

你可以下载专杀工具：

使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。
　
45576端口：
　　这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）
关闭代理软件：
　　 1.请先使用fport察看出该代理软件所在的位置
　　 2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
　 3.到该程序所在目录下将该程序删除。
　　　　　
最后请您别忘了检查系统中所有帐号的口令是否设置的足够复杂，
否则您的系统仍然是不安全的。
1.　口令应该不少于8个字符；
2.　不包含字典里的单词、不包括姓氏的汉语拼音；
3.　同时包含多种类型的字符，比如　　
　大写字母(A,B,C,..Z)
　小写字母(a,b,c..z)
　数字(0,1,2,…9)
标点符号(@,#,!,$,%,& …)

Windows2000用户请及时打上SP4以及后继补丁并把浏览器升级到IE6最新版本。

阅读(2969) | 评论(0) | 转发(0) |

上一篇：电脑奇怪问题

下一篇：考试了

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6