常見端口關閉方法
113端口木馬的清除(僅適用於windows系統):
這是一個基於irc聊天室控制的木馬程序。
1.首先使用netstat -an命令確定自己的系統上是否開放了113端口
2.使用fport命令察看出是哪個程序在****113端口
fport工具下載
例如我們用fport看到如下結果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我們就可以確定在****在113端口的木馬程序是vhos.exe而該程序所在的路徑為
c:\winnt\system32下。
3.確定了木馬程序名(就是****113端口的程序)後,在任務管理器中查找到該進程,
並使用管理器結束該進程。
4.在開始-運行中鍵入regedit運行注冊表管理程序,在注冊表裡查找剛才找到那個程序,
並將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。(通常木馬還會包括其他一些程序,如
rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等,根據
木馬程序不同,文件也有所不同,你可以通過察看程序的生成和修改的時間來確定與
****113端口的木馬程序有關的其他程序)
6.重新啟動機器。
3389端口的關閉:
首先說明3389端口是windows的遠程管理終端所開的端口,它並不是一個木馬程序,請先
確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。
win2000關閉的方法:
win2000server 開始-->程序-->管理工具-->服務裡找到Terminal Services服務項,
選中屬性選項將啟動類型改成手動,並停止該服務。
win2000pro 開始-->設置-->控制面板-->管理工具-->服務裡找到Terminal Services
服務項,選中屬性選項將啟動類型改成手動,並停止該服務。
winxp關閉的方法:
在我的電腦上點右鍵選屬性-->遠程,將裡面的遠程協助和遠程桌面兩個選項框裡的勾去掉。
4899端口的關閉:
首先說明4899端口是一個遠程控制軟件(remote administrator)服務端****的端口,他不能
算是一個木馬程序,但是具有遠程控制功能,通常殺毒軟件是無法查出它來的,請先確定該服
務是否是你自己開放並且是必需的。如果不是請關閉它。
關閉4899端口:
請在開始-->運行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統
安裝目錄),輸入r_server.exe /stop後按回車。
然後在輸入r_server /uninstall /silence
到C:\winnt\system32(系統目錄)下刪除r_server.exe admdll.dll radbrv.dll三個文件
5800,5900端口:
1.首先使用fport命令確定出****在5800和5900端口的程序所在位置(通常會是c:\winnt\fonts\
explorer.exe)
2.在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新
運行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程序。
4.刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer項。
5.重新啟動機器。
6129端口的關閉:
首先說明6129端口是一個遠程控制軟件(dameware nt utilities)服務端****得端口,他不是
一個木馬程序,但是具有遠程控制功能,通常的殺毒軟件是無法查出它來的。請先確定該服務
是否是你自己安裝並且是必需的,如果不是請關閉。
關閉6129端口:
選擇開始-->設置-->控制面板-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項,將啟動類型改成禁用後
停止該服務。
到c:\winnt\system32(系統目錄)下將DWRCS.EXE程序刪除。
到注冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。
1029端口和20168端口:
這兩個端口是lovgate蠕蟲所開放的後門端口。
蠕蟲相關信息請參見:Lovgate蠕蟲:http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下載專殺工具:http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法:下載後直接運行,在該程序運行結束後重起機器後再運行一遍該程序。
45576端口:
這是一個代理軟件的控制端口,請先確定該代理軟件並非你自己安裝(代理軟件會給你的機器帶
來額外的流量)
關閉代理軟件:
1.請先使用fport察看出該代理軟件所在的位置
2.在服務中關閉該服務(通常為SkSocks),將該服務關掉。
3.到該程序所在目錄下將該程序刪除。
對於139端口攻擊的防范針對不同系統的設置也有所不同,下面就來分別描述。
針對使用Windows 9x系統撥號上網用戶,可以不必登錄到NT局域網絡環境,打開控制面板,然後雙擊“網絡”圖標,在“主網絡登錄”中選擇“Microsoft友好登錄”,不必選擇“Windows網絡用戶”方式。此外,也不必設置“文件打印共享”
對於Windows NT用戶,可以取消NetBIOS與TCP/IP協議的綁定,打開“控制面板”,然後雙擊“網絡”圖標,在“NetBIOS接口”中選擇“WINS客戶(TCP/IP)”為“禁用”,並重新啟動計算機即可。
Windows 2000用戶可以使用鼠標右鍵單擊“網絡鄰居”圖標,然後選擇“屬性”命令,打開“網絡和撥號連接”對話框,用鼠標右鍵單擊“本地連接”圖標,然後執行“屬性”命令,打開“本地連接屬性”對話框。雙擊“Internet協議(TCP/IP)”,在打開的對話框中單擊[高級]按鈕。打開“高級TCP/IP設置”對話框,選擇“選項”選項卡,在列表中單擊選中“TCP/IP篩選”選項
單擊[屬性]按鈕,在“只允許”單擊[添加]按鈕,填入除了139之外要用到的端口。
對於個人上網用戶可以使用“天網防火牆”定制防火牆規則。啟動“天網個人防火牆”,選擇一條空規則,設置數據包方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標志位為“SYN”,動作設置為“攔截”,最後單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了.了解139端口是為了更好地
經常不用的端口可以通過關閉139端口的方法來關閉。
