荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: rmpop (PassMaster), 信区: Security
标 题: 注意后门和木马程序
发信站: 荔园晨风BBS站 (Sun Jun 29 15:31:37 2003), 转信
NOTICE:
21(AF) - Anonymous FTP
21(PO) - Port Open but disable anonymous login
25(OR) - Open Relay Mail Server
25(N) - Normal Mail Server
TCP 113 Adobea Backdoor, or Ident deamon in Unix
TCP 3389 MS Terminal service
TCP 4899 Remote Administrator
TCP 5631 Pcanywhere
TCP 6008 SkSockServer.exe
TCP 5800 NVC
TCP 5900 NVC
TCP 1092 LovGate
TCP 6000 LovGate
TCP 20168 LovGate
TCP 45576 Sock5 Proxy
TCP 52013 Hgzserver.exe
UDP 67 DHCP Server
===================解决方案 ==============================
113端口木马的清除(仅适用于windows系统):
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
(fport工具下载地址
http://www.ccert.edu.cn/pub/safetools/idstools/fport.zip)
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP
C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路
径为
c:\winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该
进程,
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到
那个程序,
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程
序,如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据
木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时
间来确定与
监听113端口的木马程序有关的其他程序)
6.重新启动机器。
3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序
,请先
确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
win2000关闭的方法:
win2000server 开始-->程序-->管理工具-->服务里找到Terminal
Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到
Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:
在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选
项框里的勾去掉。
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端
口,他不能
算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,
请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
请在开始-->运行中输入cmd(98以下为command),然后cd
C:\winnt\system32(你的系统
安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个
文件
5800,5900端口:
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是
c:\winnt\fonts\
explorer.exe)
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如
果错杀可以重新
运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer项。
5.重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听
得端口,他不是
一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查处它来的。
请先确定该服务
是否是你自己安装并且是必需的,如果不是请关闭。
关闭6129端口:
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用
后
停止该服务。
到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除
。
1029端口和20168端口:
蠕虫相关信息请参见:
http://www.ccert.edu.cn/announce/show.php?handle=49
你可以下载专杀工具:http://www.ccert.edu.cn/pub/tools/FixLGate.exe
使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程
序。
45576端口:
这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软
件会给你的机器带
来额外的流量)
关闭代理软件:
1.请先使用fport察看出该代理软件所在的位置
(fport工具下载地址
http://www.ccert.edu.cn/pub/safetools/idstools/fport.zip)
2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
3.到该程序所在目录下将该程序删除。
别忘了检查系统中所有帐号的口令是否设置的足够安全,
1. 口令应该不少于8个字符;
2. 不包含字典里的单词、不包括姓氏的汉语拼音;
3. 同时包含多种类型的字符,比如
o大写字母(A,B,C,..Z)
o小写字母(a,b,c..z)
o数字(0,1,2,…9)
o标点符号(@,#,!,$,%,& …)
--
-=rmpop=-
PassMaster | KiSsMyAsS
Http://Passfan.Yeah.Net
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.1.116]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店