当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 木马和未授权远程控制软件的关闭

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 木马和未授权远程控制软件的关闭


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 40 ::
收藏到网摘: n/a

 

  以下各种木马及未授权被安装的远程控制软件均由于您没有正确的设置您的管理员密码造成的。请先检查系统中所有帐号的口令是否设置的足够安全。   
  口令设置要求:

  1.口令应该不少于8个字符;

  2.不包含字典里的单词、不包括姓氏的汉语拼音;

  3.同时包含多种类型的字符,比如  

  o大写字母(A,B,C,..Z)

  o小写字母(a,b,c..z)

  o数字(0,1,2,…9)

  o标点符号(@,#,!,$,%,& …)

  win2000口令设置方法:

  当前用户口令:

  在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。

  其他用户口令:

  在开始->控制面板->用户和密码->选定一个用户名->点击设置密码 

  113端口木马的清除(仅适用于windows系统):

  这是一个基于irc聊天室控制的木马程序。

  1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

  2.使用fport命令察看出是哪个程序在监听113端口

  fport工具下载

  例如我们用fport看到如下结果:

  Pid Process Port Proto Path

  392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe  

  我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\winnt\system32下。

  3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。

  4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。

  5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)

  6.重新启动机器。  
  win2000关闭的方法:

  win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

  win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

  winxp关闭的方法:

  在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

  3389端口的关闭:

  首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。

  4899端口的关闭:

  首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

  

  关闭4899端口:

  请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。

  然后在输入r_server /uninstall /silence到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件

  5800,5900端口:

  1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\ explorer.exe)

  2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)

  3.删除C:\winnt\fonts\中的explorer.exe程序。

  4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项。

  5.重新启动机器。  

  6129端口的关闭:

  首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。  

  关闭6129端口:

  选择开始-->设置-->控制面板-->管理工具-->服务找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。

  到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。

  到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。  

  1029端口和20168端口:

  这两个端口是lov