一、遠端桌面3389的修改
在windwos2003系統中,修改遠端桌面應用程式的埠,目的是為了防止黑客利用該埠進行攻擊,降低伺服器被攻擊的可能性。方式如下
1. 啟動登錄檔編輯器 (regedt32.exe)。
2. 在登錄檔中找到下面的項:
hkey_local_machine/system/currentcontrolset/control/terminalserver/winstations/rdp-tcp/portnumber
3. 在編輯選單上,單擊修改,單擊十進位制,鍵入新的埠號,然後單擊確定。
4. 退出登錄檔編輯器。
格式為"ip:port",例如「192.168.0.1:123456」
二、全程跟蹤埠的活動狀態
在安裝系統後,往往只開放必要的安全埠,例如:21,25,110等,要考慮伺服器的安全性,必須對伺服器開放的埠瞭如指掌,那麼就需要借助工具來監控、跟蹤埠的使用狀況,工具port reporter。
2、啟動軟體:在服務中找到port reporter項,開啟該服務,並設定為自動。
3、檢視日誌:啟動後的port reporter會在c:/windows/system32/logfiles/目錄下建立乙個
portreporter目錄,內涵3個文字檔案
「pr-initial」記錄每個系統程序呼叫了什麼型別的網路資訊
「pr-ports」記錄每個埠呼叫了哪些具體的應用程式
「pr-pids」記錄任意乙個開放埠所使用的系統程序具體工作狀態了。
三、查詢惡意程式呼叫埠
首先要確保惡意程式已經啟動,並確保該惡意程式已經通過網路發出請求。
此時進入命令列下
1、 netstat -ano >aaa.txt命令,把當前伺服器正在偵聽的所有埠列表輸出到「aaa.txt」文字檔案
2、 tasklist >bbb.txt命令,把當前伺服器中正在執行的應用程式及其對應的程序標識表輸出到「bbb.txt」文字檔案中
之後你就可以斷網,開啟兩個文字檔案,對照他們,查詢可疑的程序和埠,在防火牆中做相應的遮蔽。
四、中馬後,黑客一般不會那麼輕易放棄這個「肉雞」,會開啟更多的後門,植入木馬等。轉殖系統帳戶就是一種致命的攻擊。一般不會防火guest帳號,如果用不上就可以將其刪除。
1、命令列中輸入命令「net user」,看到本地計算機中所有的使用者登入帳號。
2、輸入「net user ***」(其中「***」為具體的使用者帳號名稱),來依次檢視每乙個使用者帳號究竟隸屬於哪乙個許可權組。
正常情況下,administrator組成員往往只包含administrator使用者帳號,其他使用者帳號一般都不屬於administrator組。倘若我們看到其中乙個使用者帳號屬於administrator組成員的話,那麼這個使用者帳號多半已經被木馬轉殖過了,此時我們不妨在命令列中執行字串命令「net user *** /del」,來將這個偽裝的木馬帳號刪除掉,那樣一來木馬就無法通過那個轉殖帳號繼續對本地計算機進行惡意監視或控制了。
2、並在dos命令列中輸入字串命令「net start」,單擊回車鍵後,可以看到系統當前執行的所有系統服務了。一旦看到某個服務來歷不明時,我們可以在dos命令列中執行字串命令「net stop ***」(其中「***」為具體的某個服務名稱),這樣就能及時地將木馬程式開啟的服務停止執行了。
其次在dos命令列中,輸入字串命令「netstat -an」,單擊回車鍵後,我們就能從其後的結果介面中看到所有和本地計算機系統建立連線的對方主機的ip位址,具體包含的連線資訊有本地連線位址、遠端主機位址、當前埠工作狀態、當前連線方式等,通過這些資訊我們往往很容易就能識別出哪個連線屬於非法連線了,netstat –an用法不是很好,大家在輸出結果後往往看不到全部內容,建議輸出到乙個txt文件中,檢視。
3、刪除guest
c:/>regedt32
找到hkey_local_machine視窗,選中sam/sam,然後點選單中的許可權設定,這時候我們可看到administrators組只具有特殊許可權,而system賬號卻擁有全部控制許可權,想一想這是為什麼呢?其實很容易理解,system賬號是系統啟動時候需要的賬號,很多系統核心程式和服務程式大都是以該賬號的許可權執行的,若許可權太低的話,恐怕我們的系統就執行不了!現在我們需要做的是更改administrators許可權(一定要在高階選項中記住該許可權內容以備後用)為全部控制,這樣我們就可以訪問sam下的資訊了。再次執行regedit:
c:/>regedit
此時hkey_local_machine/sam/sam下顯示了全部鍵值,步步深入一直找到:
hkey_local_machine/sam/sam/domains/account/users/000001f5
和 hkey_local_machine/sam/sam/domains/account/users/names/guest
刪除000001f5和guest,然後退出regedit,再次執行regedt32,恢復administrators對sam的許可權(還記得administrators的特殊許可權嗎?一定要記得啊,實在沒有記住的話找其它同系統的機器看看也行,是一樣的),這樣是為了安全考慮,防止使用者不小心刪除系統賬號。
進入dos視窗:
c:/>net user,會看大guest不見了,同樣使用系統管理器的使用者和組檢視也是沒有的了。這樣就大功搞成了!在windows xp和2003系統中,執行regedit和regedt32好像是乙個程式,其實不是,仔細看就會發現在編輯選單中多了乙個「許可權」選項,由此可見微軟認識到以前做兩個程式實現登錄檔管理可真是脫了kzfp。
1、不熟悉登錄檔編輯的一定不要亂來,否則可能導致系統崩潰。
2、刪除前可考慮通過登錄檔的匯出功能對刪除的部分進行備份,以便恢復。
監控伺服器端口是否正常
共有兩個指令碼,port1.sh和port2.sh port1.sh指令碼 bin bash server 1port 2 if ne 2 then echo e 033 35musage basename 0 ipaddress port 033 0m exit 1fi bin ping c 1 ...
伺服器監控
北京豐匯聯合科技 的 伺服器監控軟體是一款24,只要您的手機開機,就能及時知道伺服器執行狀態!及時排除執行故障。www.looking365.com 註冊,就可以享受本公司為您提供的服務 我們這裡有專業的人員直接幫您監控伺服器,讓您在第一時間掌握伺服器執行狀況。每台伺服器只需 100元 月,現在註冊...
監控伺服器
1.監控伺服器,可以用來監控nginx,tomcat,redis,mysql,那麼怎樣監控具體的哪個應用程式呢?答 每個具體的應用程式nginx,tomcat,redis,mysql,都有自己的已經寫好的監控軟體。只需要安裝在監控伺服器上就行了。面對這些監控資訊,要7x24小時有人維護,有人看著。2...