.请校园网用户注意防范后门和木马程序

发布时间:2012-12-25 09:53:04 | 编辑:stu1

2010-11-06 kaida 点击:[ 8]

本文由 kaida 于2003 5月 19 at 8:59pm 发表,已被阅读 41027 次


请校园网用户注意:

最近一段时间网络中心发现校内很多计算机被怀疑安装了后门或木马程序,请大家按照本通知后面的方法检查自己的计算机。
后门和木马程序是一种可以远程控制别人计算机的程序,一旦自己的计算机被安装了后门或木马程序,该程序可能会窃取用户信息,包括用户输入的各种密码,将这些信息发送出去,或者,使得别人可以通过网络控制这些计算机,窃取计算机中的用户信息和文件。后门和木马程序可以通过网络传播,例如通过浏览网页、通过邮件等等方式。很多后门或木马软件无法被Norton,金山等杀毒软件识别。

=安全检查解决方案=

下载 fport , http://cert.sjtu.edu.cn/download/tools/scan/fport.zip
在DOS提示符下使用fport命令查看是否有开放的木马端口存在。
木马特征端口:113,3389,4899,5800,5900,6129,1092,20168,45576 等

113端口木马的清除:
1.如果我们用fport看到如下结果:
Pid Process    Port  Proto Path
392 svchost  -> 113  TCP C:\WINNT\system32\vhos.exe 
  我们就可以初步确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为 c:\winnt\system32下。
2.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
3.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
4.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如 rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
5.重新启动机器。

3389端口的关闭:
  首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,建议关闭该服务。
 win2000 server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
 win2000 pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
windows xp关闭的方法:在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭:
  首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
 
关闭4899端口:请在开始-->运行中输入cmd(win98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件

5800,5900端口:
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\explorer.exe)
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项。
5.重新启动机器。

6129端口的关闭:
首先说明6129端口是一个远程控制软件(DameWare nt utilities)服务端监听得端口。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。关闭6129端口:选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。
 
1092端口和20168端口:
LoveGate蠕虫相关信息请参见:
http://comic.sjtu.edu.cn/bbs/view.asp?TID=792
你可以下载专杀工具:
http://cert.sjtu.edu.cn/download/virus/worm/FixLGate.com

使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。
 
45576端口:
  这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带来额外的流量)
关闭代理软件:
   1.请先使用fport察看出该代理软件所在的位置
   2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
  3.到该程序所在目录下将该程序删除。
     
最后请您别忘了检查系统中所有帐号的口令是否设置的足够复杂,
否则您的系统仍然是不安全的。
1. 口令应该不少于8个字符;
2. 不包含字典里的单词、不包括姓氏的汉语拼音;
3. 同时包含多种类型的字符,比如  
  大写字母(A,B,C,..Z)
  小写字母(a,b,c..z)
  数字(0,1,2,…9)
标点符号(@,#,!,$,%,& …)

Windows2000用户请及时打上SP4以及后继补丁并把浏览器升级到IE6最新版本。 下载请点击此处

 

kaida37915.4151851852
 

上一条:Windows2000/XP/2003用户口令设置原则以及方法 下一条:如何安装一个安全的Windows 2000

关闭

 
 
 

XML 地图 | Sitemap 地图