常见端口关闭方法

113端口木马的清除（仅适用于windows系统）：

这是一个基于irc聊天室控制的木马程序。

1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

2.使用fport命令察看出是哪个程序在监听113端口

fport工具下载

例如我们用fport看到如下结果：

Pid Process Port Proto Path

392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为

c:\winnt\system32下。

3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，

并使用管理器结束该进程。

4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，

并将相关的键值全部删掉。

5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如

rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等，根据

木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与

监听113端口的木马程序有关的其他程序）

6.重新启动机器。

3389端口的关闭：

首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先

确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

win2000关闭的方法：

win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，

选中属性选项将启动类型改成手动，并停止该服务。

win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services

服务项，选中属性选项将启动类型改成手动，并停止该服务。

winxp关闭的方法：

在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：

首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能

算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服

务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：

请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统

安装目录），输入r_server.exe /stop后按回车。

然后在输入r_server /uninstall /silence

到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件

5800，5900端口：

1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\

explorer.exe)

2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新

运行c:\winnt\explorer.exe)

3.删除C:\winnt\fonts\中的explorer.exe程序。

4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的

Explorer项。

5.重新启动机器。

6129端口的关闭：

首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是

一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务

是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：

选择开始-->设置-->控制面板-->管理工具-->服务

找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后

停止该服务。

到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。

到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

1029端口和20168端口：

这两个端口是lovgate蠕虫所开放的后门端口。

蠕虫相关信息请参见：Lovgate蠕虫： ... rus/Antivirus_Base/

TopicExplorerPagePackage/lovgate.htm

你可以下载专杀工具： ... ovGate_download.htm

使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。

45576端口：

这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带

来额外的流量）

关闭代理软件：

1.请先使用fport察看出该代理软件所在的位置

2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。

3.到该程序所在目录下将该程序删除。

对于139端口攻击的防范针对不同系统的设置也有所不同，下面就来分别描述。

　　针对使用Windows 9x系统拨号上网用户，可以不必登录到NT局域网络环境，打开控制面板，然后双击“网络”图标，在“主网络登录”中选择“Microsoft友好登录”，不必选择“Windows网络用户”方式。此外，也不必设置“文件打印共享”

　　对于Windows NT用户，可以取消NetBIOS与TCP/IP协议的绑定，打开“控制面板”，然后双击“网络”图标，在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”，并重新启动计算机即可。

Windows 2000用户可以使用鼠标右键单击“网络邻居”图标，然后选择“属性”命令，打开“网络和拨号连接”对话框，用鼠标右键单击“本地连接”图标，然后执行“属性”命令，打开“本地连接属性”对话框。双击“Internet协议(TCP/IP)”，在打开的对话框中单击［高级］按钮。打开“高级TCP/IP设置”对话框，选择“选项”选项卡，在列表中单击选中“TCP/IP筛选”选项

　　单击［属性］按钮，在“只允许”单击［添加］按钮，填入除了139之外要用到的端口。

对于个人上网用户可以使用“天网防火墙”定制防火墙规则。启动“天网个人防火墙”，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击［确定］按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了.了解139端口是为了更好地

经常不用的端口可以通过关闭139端口的方法来关闭。

纯皓 2005-04-12 00:30

特洛伊木马常用端口

下面的列表给出了现有木马和他们所用端口的对应表。低端口常用来窃取口令并传送给黑客。

高端口常用来通过网络远程控制木马程序。

The problem with Remote Access trojans or trojans trying to steal passwords

is fairly new. Today there are no programs, antivirus or antitrojan programs,

which can detect unknown trojan horses. The programs claiming to defend you can

usually only find a fraction of all the trojans out there - 17 written in 1997,

81 constructed the following year, and at least 156 new trojans thus far in1999.

Port

Trojan

21

FTP Open Server Port

21

Blade Runner, Doly Trojan, Fore, Invisible, FTP, WebEx, WinCrash

23

Tiny Telnet Server

25

Antigen, Email Password Sender, Haebu, Coceda, Shtrilitz, Stealth,

Terminator, WinPC, WinSpy

25

SMTP

31

Master Paradise.80 Port

31

Hackers Paradise

53

Bonk (DoS Exploit) Port

80

Executer 1.0a Port

80

Executor, WWW

110

POP3

121

BO jammerkillah Port

137

Name Service (Netbios over IP) Windows

138

Datagram Service (Netbios over IP) Windows

139

WinNuke / Landc (DoS Exploit) Port

139

Session Service (Netbios over IP) Windows

456

Hackers Paradise Port

456

Hackers Paradise

555

Stealth Spy Port

555

Phase0 Port

555

IniKiller, Phase Zero, Stealth Spy

666

Attack FTP Port

666

Satanz Backdoor

777

AIM Spy

1000

Der Spaeher3, Insane Network

1001

Der Spaeher3, Insane Network

1001

Silencer Port

1001

WebEx Port

1001

Silencer, WebEx

1003

BackDoor.200 Port

1003

BackDoor.201 Port

1003

BackDoor.202 Port

1010

Doly trojan v1.35 Port

1011

Doly Trojan Port

1011

Doly Trojan

1011

Trojan Dolly Version 1.1/1.2

1015

Doly trojan v1.5 Port

1015

Trojan Dolly Version 1.5

1016

Trojan Dolly Version 1.6/1.7

1024

1025 NetSpy.698 Port

1029

InCommand

1033

Netspy Port

1035

Trojan Dolly Version 1.35

1042

Bla1.1 Port

1047

GateCrasher.b Port

1047

GateCrasher.c Port

1050

MiniCommand 1.2

1080

Wingate Port

1170

Psyber Stream Server, Voice

1207

SoftWar

1234

Ultors Trojan

1243

SubSeven Port

1243

Sub 7.2

1245

Vodoo Port

1245

VooDoo Doll

1269

Maverick's Matrix Port

1492

BackOriffice.FTP Port

1492

FTP99CMP (BO.FTP) Port

1492

FTP99CMP

1509

Streaming Server Port

1600

Shiv Port

1600

Shivka

1807

SpySender Port

1807

SpySender

1981

ShockRave Port

1981

Shockrave

1999

Transmission of Scout v. 1.1

1999

Backdoor Port

1999

BackDoor.200 Port

1999

BackDoor.201 Port

1999

BackDoor.202 Port

1999

BackDoor.203 Port

1999

BackDoor

2000

Der Spaeher3, Insane Network

2001

Der Spaeher3, Insane Network

2001

TrojanCow Port

2001

Trojan Cow

2023

Pass Ripper Port

2023

Ripper

2115

Bugs

2140

DeepThroat.10 Port

2140

Invasor Port

2140

The Invasor Port

2140

Deep Throat, The Invasor

2283

Rat Port

2565

Striker Port

2583

Wincrash2 Port

2716

The Prayer

2773

SubSeven Key Logger

2801

Phineas Port

2801

Phineas Phucker

3024

WinCrash

3128

Squid Proxy

3129

MastersParadise.92 Port

3129

Masters Paradise

3150

DeepThroat.10 Port

3150

Invasor Port

3150

Deep Throat, The Invasor

3700

Portal of Doom

4092

WinCrash

4567

FileNail Port

4590

ICQTrojan

4950

IcqTrojan Port

5000

Blazer 5 Port

5000

Sockets de Troie

5001

Sockets de Troie

5031

NetMetropolitan2

5032

NetMetropolitan2

5321

Firehotcker Port

5321

Firehotcker

5400

BackConstruction1.2 Port

5400

BladeRunner Port

5400

Blade Runner

5401

Blade Runner

5402

Blade Runner

5550

Xtcp Port

5569

RoboHack Port

5569

RoboHack

5636

PC Crasher

5637

PC Crasher

5698

BackDoor.203 Port

5714

Wincrash3 Port

5741

Wincrash3 Port

5742

Wincrash Port

5742

WinCrash

6000

The Thing

6400

The Thing Port

6666

TCPShell.c

6669

Host Control

6669

Vampire Port

6670

Deep Throat Port

6670

DeepThroat

6671

Deep Throat Port

6767

NT Remote Control Port

6771

DeepThroat

6883

DeltaSource

6883

DeltaSource Port

6939

Indoctrination Port

6969

Gatecrasher.a Port

6969

GateCrasher, Priority

7000

Remote Grab

7215

SubSeven Matrix (Changeable)

7300

NetMonitor

7301

NetMonitor

7306

NetMonitor Port

7306

NetMonitor

7307

NetMonitor

7308

NetMonitor

7789

ICQKiller Port

7789

ICKiller

8080

Proxy

9872

Portal of Doom Port

9872

al of Doom

9873

al of Doom

9874

al of Doom

9875

Portal of Doom Port

9875

al of Doom

9989

InIkiller Port

9989

iNiKiller

9999

The Praye

10067

al of Doom

10167

Portal Of Doom Port

10167

al of Doom

10607

Coma Port

11000

Senna Spy Trojans Port

11000

Senna Spy

11050

Host Control

11223

ProgenicTrojan Port

11223

Progenic trojan

12076

Gjamer Port

12076