分类: WINDOWS
2008-05-31 14:15:19
工具:ipseccmd.exe(微软自己的工具,安全,小巧)
比如要禁止别人访问你的1433UDP端口:则输入命令:
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434
Rule" -f 0=*:1434:UDP -n BLOCK
查看本机连接的端口请用netstat -an查看。开了终端的(或虽没开了终端的但在用户表有终端用户的)查看有没有隐藏的用户请用regedt32打开设置sam权限,再打到看看sam。
有空也看看HKEY_LOCAL_MACHINE\SYSTEM有没有RAdmin,设c盘权限为只有administrator(反正是你用的超级用户)和system,把everyone,users,power users之类全部删掉,有iis的新建个guest权限的用户,设置密码,在iis中设置匿名用户为该用户,对网站之外的目录不可读写,这样中了asp 木马也没什么大不了。有ftp的用最新版的serv-u,5.2之前版本有本地权限提升漏洞,用sql数据库的封1433端口,设sa口令,删sql扩展删存储,删xplog70.dllxpweb70.dll。如果只开放21.80端口,网页脚本都加入防注入,网吧的安全性问题应该不是很大。注意,这是用在上的,别用在客户机上。这是偶这几天呕心沥血“测试”一台韩国的总结。
补充:1、现在太多人玩上传漏洞了,用网上asp程序的朋友,如果对自己代码的安全性不太确认,就把所有的管理文件改名了,如 admin_login.asp改这pc2009_login.asp,admin.asp改为mywebadmin.asp,login.asp改为 my_login.asp之类的;在数据库里把admin,user,password表改名为自己网站专用的数据表名;如果自己上传没什么用,就把什么 upload之类的文件上传文件给删了,changepassword之类的如果没用也全删了!如果还是不放心而对asp熟悉的朋友,可以建双站,一个对外,全部用asp生成静态html,网站只允许html;一个只允许自己的ip或内网使用,专用用来上传,生成静态html和自己管理维护用。iis和 windows打补丁就不用说了!另外ipc也关掉。2、有开终端的朋友,改终端端口,要不天天被人扫很不舒服,懒的朋友也许会设自动登陆,一定要禁止自动登陆用户及所有用户的远程终端,自己再建一个终端用户维护用。如果有闲心思的朋友,可以用administrator用户改名改掉,再建个没有任何权限的administrator,密码设复杂点,让玩弱口令的的慢慢猜吧。再建个用户名用hacker$之类的,没有任何权限,然后用system32目录随便复制dll文件到c盘或哪个比较显眼的地方,改名为AdmDll.dll,raddrv.dll,尽量做得像是被黑过的样子,要是哪个人真的入侵了你的机子,经常会把hacker$给删掉,因为抢鸡太常出现了,入侵后就常常要独自占有。如果你发现hacker$用户被删了,一定要仔细的查了。在sam 中把guest,SUPPORT_388945a0等你没用的帐号都删掉,因为很多人都是选被禁用的guest来提升权限的,不是十分内行的人很难查出被禁用的guest已被提升为隐藏的超级管理员,在里的F值和V值也很难辨别的,只有一个一个对比。如果在本机上用regedt32管理员没有设置sam权限,而你又没改过,或者如果在cmd下,net user而提示出现有错误,则极有可能被人入侵过了。用psu启动regedt32.exe进去查看和修改。3、如果没影响,修改常用端口,如ftp改为 65012端口,web改为65011,radmin改为65013,终端端口改为65014(尽量设在65000之后,有些扫描器要手动输入端口范围的,很多人懒得记端口的确切范围,就常常就随便输入60000,65000),这样很多扫描器就会错过了你,玩旁注或serv-u漏洞的朋友也会错过了你。苍蝇不叮无缝的蛋的,如果别人不是要特地对付你,你又没开常用及常见的端口,没有人会花时间去猜你的端口的,哪怕只有二分钟,网上有缝的蛋俯拾即是!
禁止被ping.bat (声明,这个bat是是根据爱虫ip安全策略和合工大中心安全应急响应组的安全策略改的)
--------------------------------------------------------------------------------
ipseccmd
-w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x
--------------------------------------------------------------------------------
开网上邻居.bat
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS
-x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/135" -f *+0:135:TCP -n PASS
-x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/139" -f *+0:139:TCP -n PASS
-x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f *+0:445:TCP -n PASS
-x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/1025" -f *+0:1025:TCP -n PASS
-x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f *+0:3389:TCP -n
PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/135" -f *+0:135:UDP -n
PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n
PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/445" -f *+0:445:UDP -n
PASS -x
ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n
PASS -x
禁sql端口.bat
--------------------------------------------------------------------------------
ipseccmd
-w REG -p "XIAOWANG" -r "Block TCP/1433" -f *+0:1433:TCP -n BLOCK -x
ipseccmd
-w REG -p "XIAOWANG" -r "Block UDP/1433" -f *+0:1433:UDP -n BLOCK -x
--------------------------------------------------------------------------------
禁危险端口.bat
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n BLOCK
-x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block UDP/1434" -f *+0:1434:UDP -n
BLOCK -x
rem ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/3389" -f
*+0:3389:TCP -n BLOCK -x
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/445" -f
*+0:445:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block
UDP/445" -f *+0:445:UDP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r
"Block TCP/1025" -f *+0:1025:TCP -n BLOCK -x >nul
ipseccmd -w REG -p
"XIAOWANG" -r "Block UDP/139" -f *+0:139:UDP -n BLOCK -x >nul
ipseccmd -w
REG -p "XIAOWANG" -r "Block TCP/1068" -f *+0:1068:TCP -n BLOCK -x
>nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/5554" -f *+0:5554:TCP -n
BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/9995" -f
*+0:9995:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG" -r "Block
TCP/9996" -f *+0:9996:TCP -n BLOCK -x >nul
ipseccmd -w REG -p "XIAOWANG"
-r "Block TCP/6129" -f *+0:6129:TCP -n BLOCK -x >nul
ipseccmd -w REG -p
"XIAOWANG" -r "Block ICMP/255" -f *+0:255:ICMP -n BLOCK -x >nul
ipseccmd
-w REG -p "XIAOWANG" -r "Block TCP/43958" -f *+0:43958:TCP -n BLOCK -x
>nul
更仔细一些的东西:
-w REG 类型是reg
-p "XIAOWANG" 名称
-r "Block TCP/2115" 说明是tcp
/2115断口
-f *+0:2115:TCP -n *任何ip地址
0 我的ip地址
2115是断口
tcp 就不用多说了把
比如要禁用3389:-f *+0:3389:TCP
-f
*+0:2115:udp
-n BLOCK -x 是很关键的BLOCK一定要大写