服务器安全，端口监控

 

一、             远程桌面3389 的修改

在Windwos2003系统中，修改远程桌面应用程序的端口，目的是为了防止黑客利用该端口进行攻击，降低服务器被攻击的可能性。方式如下

1. 启动注册表编辑器 (Regedt32.exe)。

2. 在注册表中找到下面的项：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp/PortNumber

3. 在编辑菜单上，单击修改，单击十进制，键入新的端口号，然后单击确定。 

4. 退出注册表编辑器。

注意：当试图使用远程桌面连接来连接到这台计算机时，打开远程桌面的终端程序，输入IP地址，

格式为"IP：PORT"，例如“192.168.0.1：123456”

 

二、             全程跟踪端口的活动状态

在安装系统后，往往只开放必要的安全端口，例如：21，25，110等，要考虑服务器的安全性，必须对服务器开放的端口了如指掌，那么就需要借助工具来监控、跟踪端口的使用状况，工具Port Reporter。

1、安装方法：下载后解压，点击pr-setup.exe安装即可

2、启动软件：在服务中找到Port Reporter项，开启该服务，并设置为自动。

3、查看日志：启动后的Port Reporter会在C:/WINDOWS/system32/LogFiles/目录下建立一个

PortReporter目录，内涵3个文本文件

“PR-INITIAL”记录每个系统进程调用了什么类型的网络信息

“PR-PORTS”记录每个端口调用了哪些具体的应用程序

“PR-PIDS”记录任意一个开放端口所使用的系统进程具体工作状态了。

 

三、             查找恶意程序调用端口

首先要确保恶意程序已经启动，并确保该恶意程序已经通过网络发出请求。

此时进入命令行下

1、 netstat -ano >aaa.txt命令，把当前服务器正在侦听的所有端口列表输出到“aaa.txt”文本文件

2、 tasklist >bbb.txt命令，把当前服务器中正在运行的应用程序及其对应的进程标识表输出到“bbb.txt”文本文件中

之后你就可以断网，打开两个文本文件，对照他们，查找可疑的进程和端口，在防火墙中做相应的屏蔽。

 

四、             中马后，黑客一般不会那么轻易放弃这个“肉鸡”，会开启更多的后门，植入木马等。克隆系统帐户就是一种致命的攻击。一般不会防火Guest 帐号，如果用不上就可以将其删除。

1、命令行中输入命令“net user”，看到本地计算机中所有的用户登录帐号。

2、输入“net user xxx”（其中“xxx”为具体的用户帐号名称），来依次查看每一个用户帐号究竟隶属于哪一个权限组。

　　正常情况下，administrator组成员往往只包含Administrator用户帐号，其他用户帐号一般都不属于administrator组。倘若我们看到其中一个用户帐号属于administrator组成员的话，那么这个用户帐号多半已经被木马克隆过了，此时我们不妨在命令行中执行字符串命令“net user xxx /del”，来将这个伪装的木马帐号删除掉，那样一来木马就无法通过那个克隆帐号继续对本地计算机进行恶意监视或控制了。

 

2、并在DOS命令行中输入字符串命令“net start”，单击回车键后，可以看到系统当前运行的所有系统服务了。一旦看到某个服务来历不明时，我们可以在DOS命令行中执行字符串命令“net stop xxx”（其中“xxx”为具体的某个服务名称），这样就能及时地将木马程序开启的服务停止运行了。

 

其次在DOS命令行中，输入字符串命令“netstat -an”，单击回车键后，我们就能从其后的结果界面中看到所有和本地计算机系统创建连接的对方主机的IP地址，具体包含的连接信息有本地连接地址、远程主机地址、当前端口工作状态、当前连接方式等，通过这些信息我们往往很容易就能识别出哪个连接属于非法连接了，netstat –an用法不是很好，大家在输出结果后往往看不到全部内容，建议输出到一个txt文档中，查看。

 

3、删除GUEST

C:/>regedt32

　　找到HKEY_LOCAL_MACHINE窗口，选中SAM/SAM，然后点菜单中的权限设置，这时候我们可看到Administrators组只具有特殊权限，而SYSTEM账号却拥有全部控制权限，想一想这是为什么呢？其实很容易理解，SYSTEM账号是系统启动时候需要的账号，很多系统内核程序和服务程序大都是以该账号的权限运行的，若权限太低的话，恐怕我们的系统就运行不了！现在我们需要做的是更改Administrators权限（一定要在高级选项中记住该权限内容以备后用）为全部控制，这样我们就可以访问SAM下的信息了。再次运行regedit：

　　C:/>regedit

　　此时HKEY_LOCAL_MACHINE/SAM/SAM下显示了全部键值，步步深入一直找到：

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/000001F5

和

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/Guest

　　删除000001F5和Guest，然后退出regedit，再次运行regedt32，恢复Administrators对sam的权限（还记得Administrators的特殊权限吗？一定要记得啊，实在没有记住的话找其它同系统的机器看看也行，是一样的），这样是为了安全考虑，防止用户不小心删除系统账号。

　　

　　进入dos窗口：

　　C:/>net user，会看大guest不见了，同样使用系统管理器的用户和组查看也是没有的了。这样就大功搞成了！在Windows XP和2003系统中，运行regedit和regedt32好像是一个程序，其实不是，仔细看就会发现在编辑菜单中多了一个“权限”选项，由此可见微软认识到以前做两个程序实现注册表管理可真是脱了KZFP。

　　

　　需要提醒的是：

　　1、不熟悉注册表编辑的一定不要乱来，否则可能导致系统崩溃。

　　2、删除前可考虑通过注册表的导出功能对删除的部分进行备份，以便恢复。