当前位置：首页 > 实用文档 > 其他范文> 练就火眼金睛关闭包藏祸心的危险端口WEB安全

练就火眼金睛关闭包藏祸心的危险端口WEB安全

时间：2022-08-23 07:57:02 其他范文收藏本文下载本文

练就火眼金睛关闭包藏祸心的危险端口WEB安全（精选7篇）由网友“他人即地狱”投稿提供，下面是小编为大家整理后的练就火眼金睛关闭包藏祸心的危险端口WEB安全，欢迎大家借鉴与参考，希望对大家有所帮助。

篇1：练就火眼金睛关闭包藏祸心的危险端口WEB安全

端口就像网络通信中的一扇窗户，要想进行通信就必须开放某些特定的端口，然而，大家必须特别注意，对于已经打开的窗户，一定要做到心中有数，否则就会有“窃贼”乘虚而入。

一个不漏：检查已开放的端口

1．哪些端口最危险

对于本地系统中的应用程序来说，它们一般使用大于1024的高端端口，如QQ客户端程序使用UDP 4000端口进行通信。而病毒、木马和间谍软件等高危险性程序同样会使用高端端口进行传播、攻击，而且它们使用的高端端口号比较隐蔽，一般用户很难发现。

因此，对本地系统中开放的端口进行自检是有必要的，这样一来用户就可掌握系统开放端口的情况，病毒、木马使用的端口就无处遁形。

SuperScan（下载地址：www.jfsky.com/SoftView/SoftView_1718.html）就是笔者向大家推荐的端口扫描工具，利用这款工具，大家可以自检端口的开放状况。

2．扫描端口，检测安全性

扫描本地系统的端口开放情况，最好在远端机器中进行。下面笔者要扫描IP地址为“192.168.1.28”的机器的端口开放情况，在远端机器中运行SuperScan3.0（见图），在“IP起始”栏中输入“192.168.1.28”，在“结束”栏中也输入“192.168.1.28”，这表示扫描的目标就是IP地址为“192.168.1.28”的机器。

然后在“扫描类型”栏中选中“所有端口定义”单选项，在后面的空白栏中输入“1-65535”，这表示要扫描目标机器“1-65535”的端口。点击“开始”按钮，SuperScan就开始扫描目标机器的端口，并在下方的列表框中显示出开放的端口号，用户就可知道本地系统中有哪些端口开放了，如果发现不熟悉的端口号可以通过网络查询“常用端口对应表”，了解相关端口号的具体情况。

提示：常用端口对应表请参看www.mh.fy.cn//常用网络端口对应表.txt。

3．如何辨别漏洞

如果碰到某些高端端口已开放，而且在“常用端口对应表”中无法查找到时，你就得留意了。为了防止可疑的高端端口对本地系统带来安全隐患，或引来致命攻击，建议大家在第一时间内升级病毒和网络防火墙，即时查杀和封堵系统中存在的可疑程序。

方法总结：利用SuperScan虽然可以清楚地查看本地系统的端口开放情况，但它有很大的不足。你找到的可疑端口一定就是病毒或木马留下的后门吗？这个很难说，也许这个端口是你不了解的本地系统中的正常应用程序所使用的端口，如果不假思索封闭该端口，很可能会影响系统的运行。

理清关系：查看端口和进程关联

窗户打开了，但进来的一定就是新鲜空气吗？它也很可能是蚊虫和细菌乘虚而入的通道。要想保证本地系统的安全，必须快速、准确地找出哪些是高危险端口，

笔者刚才提到了SuperScan对端口进行自检的不足，那么如何才能确定某个端口就是“ ”所为呢？单纯通过端口号进行判断会证据不足的，这时不妨利用与该可疑端口相关联的进程来取证，找到使用该端口的进程，通过分析它的进程名、路径和主程序名，来进行锁定。这样一来，对可疑端口地判断就比较准确了。

Windows系统自带的命令或工具无法查看端口和进程的关联，这时不妨考虑动用第三方工具（如Fport和Active Ports等）。下面笔者就介绍一下如何查看端口与进程的关联。

小知识：关联

所谓端口和进程的关联，是指某个程序的进程使用哪个或哪些通信端口进行通信，这样一来进程就会和这些通信端口建立起联系，这就是大家所说的关联。

1．快捷，用命令查关联

Fport（下载地址：www.foundstone.com/knowledge/zips/fport.zip）是一个命令行工具，在Windows系统“命令提示符”窗口中运行“Fport”命令后回车，就会显示本地系统中所有进程的通信情况，而且每个进程项目所包含的信息都很详细。

通过本地端口号属性栏，查明可疑端口号对应哪个进程项目，接着就能找到该端口所对应的进程名，以及它的路径和主程序名。通过这些有力的证据，能够很容易地判断出该端口是不是被木马和病毒所利用，准确性很高。

2．直观，用工具查寻关联

Fport工具毕竟是一个命令，有些用户使用起来很不习惯。那么大家不妨使用一下图形用户界面下的关联查看工具Active Ports。

Active Ports（下载地址：ftp15.enet.com.cn:83/pub/network/ip/aports.zip）提供的端口和进程关联查看和Fport基本相同，只不过Active Ports是在图形用户界面下使用的，操作起来更方便，而且它的功能也很强，除了提供进程ID（PID）、进程名、使用的本地端口号、使用的通信协议以及该进程的路径和主程序名外，还提供远端机器的IP地址、远程端口号和通信状态等。

方法总结：Fport和Active Ports可以快速查找出端口和进程的关联情况，但它们也有小小的不足之处，这就是它们无法动态监控端口和进程的关联情况。如果用户有特殊需要，想看动态监控端口和进程的关联，不妨使用微软提供的“PortReporter”。

关门：禁用高危端口

准确找出病毒或木马使用的可疑端口后，首先要利用进程管理器结束这个恶意进程（如Windows进程管理器、Active Ports等），然后即时升级病毒库和个人网络防火墙，查杀系统中存在的病毒和木马。当然，为了保险起见，还可利用个人网络防火墙定制通信规则阻断某个端口与互联网的通信，甚至可以利用“TCP/IP”筛选功能禁用这些高危险端口。

没有最好，只有更好，虽然以上介绍的两种端口自检方法都有不足之处，但将两种方法相结合，相辅相成，完全可以满足绝大多数用户的端口安全需要。在端口自检操作过程中，用户一定要细心谨慎，防止错判和误判的发生，相信病毒和木马都逃脱不了这对火眼金睛地甄别。

篇2：阻止端口扫描：关闭闲置端口、屏蔽危险端口

的探测方式里除了侦察IP，还有一项??端口扫描，通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。

一、端口扫描

网上很容易找到远程端口扫描的工具，如Superscan、IPScanner、Fluxay(流光)等(

。从端口扫描结果中我们可以清楚地了解，该主机的哪些非常用端口是打开的；是否支持FTP、Web服务；且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也显示出来。

二、阻止端口扫描

防范端口扫描的方法有两个：

1.关闭闲置和有潜在危险的端口

这个方法有些“死板”，它的本质是??将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就而言，所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口)；QQ(4000端口)等不能被关闭。

在WindowsNT核心系统(Windows/XP/)中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了(如图2)，

进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IISAdmin服务等等)，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。

2.检查各端口，有端口扫描的症状时，立即屏蔽该端口

这种预防端口扫描的方式显然用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开；端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口，防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

篇3：关闭网站的危险的FSO命令行执行WEB安全

将下面的代码保存为一个.BAT文件，( 以下均以WIN2000 为例，如果使用2003，则系统文件夹应该是C:WINDOWS )

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后运行一下，wscript.shell, Shell.application, WScript.Network就会被卸载了，可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

如何卸载Wscript.Shell等对象

1、卸载wscript.shell对象

在cmd下运行：regsvr32 WSHom.Ocx /u

2、卸载FSO对象

在cmd下运行：regsvr32.exe scrrun.dll /u

3、卸载stream对象

在cmd下运行：

regsvr32 /s /u “C:Program FilesCommon FilesSystemadomsado15.dll” 如果要重新启用：请把/u参数对掉就行了！

禁止WScript.Shell

防范此类病毒的方法就是将Windows scripting host卸载掉，

具体方法是：我的电脑→控制面板→添加/删除程序→安装WINDOWS→附件→详细资料→Windows scripting host→确定。其实还有一种方法更简单，依次键入下面两段命令：regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车，就可以把注册表中.wsh对象的注册值删掉。这样那些必须依靠对象运行的病毒就因为找不着对象而无法运行下去。

防范Wscript.Shell组件的方法：

可以通过修改注册表，将此组件改名。

HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了.

也要将clsid值也改一下

HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值、HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值

也可以将其删除，来防止此类木马的危害。

防范Shell.Application组件的方法：

可以通过修改注册表，将此组件改名。

HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOTShell.Application.1

改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了。

也要将clsid值也改一下

HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值、HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

也可以将其删除，来防止此类木马的危害。

shellStr=“Shell” applicationStr=“Application” if cmdPath=“wscriptShell” set sa=server.createObject(shellStr&“.”&applicationStr) set streamT=server.createObject(“adodb.stream”) set domainObject = GetObject(“WinNT://.”)

以上是海洋中的相关代码，从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件：

①WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

②WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

③WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

④WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

⑤FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

⑥Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

⑦Shell.applicaiton....

hehe，这下我们清楚了危害我们WEB SERVER IIS的最罪魁祸首是谁了!!开始操刀,come on...

2:解决办法：

① 删除或更名以下危险的ASP组件：

WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application

开始------->运行--------->Regedit，打开注册表编辑器，按Ctrl+F查找，依次输入以上Wscript.Shell等组件名称以及相应的ClassID，然后进行删除或者更改名称(这里建议大家更名，如果有部分网页ASP程序利用了上面的组件的话呢，只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用，

当然如果你确信你的ASP程序中没有用到以上组件，还是直接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后，iisreset重启IIS后即可升效。)

[注意：由于Adodb.Stream这个组件有很多网页中将用到，所以如果你的服务器是开虚拟主机的话，建议酢情处理。]

② 关于File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题，如果您的服务器必需要用到FSO的话，(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话，可以直接反注册此组件即可。

③ 直接反注册、卸载这些危险组件的方法：(实用于不想用①及②类此类烦琐的方法)

卸载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%/system32/WSHom.Ocx

卸载FSO对象,在cmd下或直接运行：regsvr32.exe /u %windir%/system32/scrrun.dll

卸载stream对象,在cmd下或直接运行：regsvr32 /s /u “C:/Program Files/Common Files/System/ado/msado15.dll”

如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件例如：regsvr32.exe %windir%/system32/scrrun.dll

④ 关于Webshell中利用set domainObject = GetObject(“WinNT://.”)来获取服务器的进程、服务以及用户等信息的防范，大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation服务停止并禁用即可。此处理后，Webshell显示进程处将为空白。

3 按照上面1、2方法对ASP类危险组件进行处理后，用阿江的asp探针测试了一下,“服务器CPU详情”和“服务器操作系统”根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了

作者：冠威博客

篇4：关闭windows xp 相关端口保安全Windows安全

windows xp作为一个被广泛使用的系统，现在已经受到了越来越多攻击者的“青睐”，当然最简单的防范方法是装个网络防火墙，不过在没有防火墙时，我们有什么办法呢？关闭windows xp中的无用端口可以让系统安全很多。

一、找出自身开放的端口

扫描端口，然后找漏洞是攻击者入侵的基本思路。可以说，机器上开放的端口越多，攻击者入侵的机会就越大，因此我们可以通过关闭一些我们不用的端口来提高电脑的安全性。

那如何知道我们的windows xp开放了哪些端口呢？我们可以用命令“netstat”来查看系统中开放的端口。

我们需要用到这个命令的两个参数：-a、-n。参数-a显示当前所有连接和侦听端口，而参数-n以数字格式显示地址和端口号（而不是尝试查找名称），两者可以结合起来使用：netstatan（如图1），就能查看当前端口的开放情况。

图1

通过这个命令，如果我们发现一个异常的端口号在监听，可以先去网上查找常见木马的端口号对照一下，如果发现有木马使用的端口，就应该用杀除木马的软件检查系统了。

二、关闭无用端口

知道怎么查看机器的端口情况之后，接下来一个问题是，哪些端口是必需的，哪些端口是可以关闭的？这个问题稍微复杂一点，因为除了windows xp默认开放的135、137、138、139和445，有些跟网络有关的软件需要使用到一些端口，最常用的比如qq使用4000端口。这里笔者把情况想像成最简单：一台只需要浏览网页的电脑。那么针对这个系统，我们自己来配置一下以提高安全性。

1、关闭软件开启的端口，

可以打开本地连接的“属性→internet协议（tcp/ip）→属性→高级→选项→tcp/ip筛选属性”，然后都选上“只允许”（如图2）。请注意，如果发现某个常用的网络工具不能起作用的时候，请搞清它在你主机所开的端口，然后在“tcp/ip筛选”中添加相应的端口。

图2

2、禁用netbios。打开本地连接的“属性→internet协议（tcp/ip）→属性→高级→wins→禁用tcp/ip上的netbios”（如图3）。这样一来就关闭了137、138以及139端口，从而预防ipc$入侵。

图3

3、开启windows xp自带的网络防火墙。打开本地连接的“属性→高级”，启用防火墙之后，单击设置可以设置系统开放关闭哪些服务。一般来说，这些服务都可以不要，关闭这些服务后，这些服务涉及的端口就不会被轻易打开了。

4、禁用445端口。向注册表“hkey_lo-cal_machinesystemcurrentcontrolsetservi cesnetbtparameters”中追加名为“smbdeviceenabled”的dword值，并将其设置为0，就好了。

通过以上设置，你的windows xp系统的安全性将大大提高。要补充的是，文章是针对那些直接拨号上网的机器，而不包括通过网关代理上网的机器。

关键字：Windows安全

篇5：关闭不常用的端口，系统更安全

关闭不常用的端口，系统更安全

服务器中端口开放多了，会给系统安全带来隐患，我们应该如何关闭不常用的端口呢?

关闭端口的方法很多，在此给大家推荐一种通过设置本地连接属性来关闭系统端口的方法，

首先在“控制面板”的“网络连接”中双击“本地连接”，打开“本地连接”状态窗口。

在此单击“属性”按钮，打开“本地连接属性”对话框。随后选择“Internet协议(TCP/IP)”项目，单击“属性”按钮，打开“Internet协议(TCP/IP)属性”对话框，在此单击“高级”按钮，打开“高级TCP/IP设置”对话框，在该窗口中切换到“选项”界面，在“可选的设置”中选择“TCP/IP筛选”，随后单击“属性”，打开“TCP/IP筛选”对话框，在此勾选“启用TCP/IP筛选”复选框，这样系统会将通过该连接的所有端口关闭，

需要启用某个端口时，我们要在下面进行添加，点选“TCP端口”上面的“只允许”命令，随后单击“添加”按钮，添加需要启用的端口号，添加后，我们继续添加“UDP端口”，随后单击“确定”即可。

篇6：火眼金睛小心防范网络盗贼三板斧的侵袭WEB安全

现在越来越多的网民、游戏玩家遇到过QQ号、网游账号，甚至网上银行账号被盗，网上窃贼已经从早期的单兵作战，发展到销赃一条龙。针对网络盗窃，一方面存在调查取证难，二是有关立法司法严重滞后，使得网络盗窃的风险远比普通盗窃要低很多。如何保护自己的网络财产？成为网民普遍关心的问题。

其实网络盗贼常用的手法，不外乎“猜”、“骗”、“偷”三板斧。

一“猜”

这一招是最没有技术含量的，就是盗贼获得你的账号信息后，尝试猜解账号密码。我曾看到过CCTV有期节目，说福建某地查获一批小盗贼，他们在受害人银行提款时，记录银行账号，拿到账号后，就尝试猜解密码，按说这应该是非常困难的，但是他们却缕缕得手，其原因就是太多人使用的口令非常容易被猜到。很多人的口令与出生日期、车牌号、电话号码关联，这样自己记起来是容易，小偷偷起来更容易，最要命的是，不少人的口令只用一个，比如MSN，QQ，网游账号，用的都是一个，一把钥匙开所有的门。

防止密码被猜中的方法很简单，使用位数更长，也更复杂的密码吧，自己牢记在心，别写在纸上或者记录在任何电子文件中，让贼去猜，累死他，呵呵。

二“骗”

曾经有个真实案例，某地小区发现一个新建的储蓄所，外观和其它银行并无二致，小区居民觉得不错，银行开到家门口，当然是方便了。有个银行的工作人员从这家即将建好的储蓄所经过，觉得太陌生，打了个电话咨询上级，发现根本没有在本地建储蓄所有情况，打电话报警，警方调查的结果令人大吃一惊，这根本就是个假银行。而在网络上，这种类似假银行的就不再是个案，而是随处可见。稍不留神，你可能就进假银行办业务了。专家给这种“骗”取了个形象的名字――网络钓鱼。

防止被骗，首先要练自己的眼力，和对付面对面的骗子一样，千万别因贪心而被骗。认准自己常去的网站，在你准备输入账号密码时，再检查一遍地址对不对，在线交易时要特别留神。也有协助你防骗的技术手段，比如金山毒霸的网络反钓鱼功能，支持模糊匹配保护白名单，发现和白名单特别像的连接会提醒访问者，但切记技术不是万能的，关键还的靠自己，

三“偷”

在这三板斧中技术含量最高，窃贼在受害者登录的电脑上种植木马，偷盗用的木马通常有两类，一类是通用木马，可以远程控制受害人电脑，被远程控制的电脑一举一动都可能被远程控制者观察到，或者通过键盘钩子监视受害电脑的每个击键动作，将日志文件发送到远程攻击者分析。这类手法需要分析的数据量太大，不利于分析大量目标，严重影响作案效率。另一类就是精确制导了，比如广泛存在的QQ 木马、魔兽木马、征途木马、网银大盗等等。这类木马只监视特定目标，可以通过键盘钩子，也可以捕获鼠标指针周围一定像素的屏幕图像，即使网络银行，网络游戏的登录窗口使用虚拟键盘，也一样被盗。最近一个朋友说他的网络银行账号里被人分10多次偷了1万多元，盗窃者通过木马窃取了受害者的网络银行登录账号密码，因为使用的是网络银行大众版，日消费转帐上限为1000元，盗窃者多次完成交易，使得该盗窃者留下多处盗窃痕迹。这里需要指出的是，因为网络银行大众版的证书是公用的，窃贼只要偷到账号密码就算得手了，其安全性备受质疑。网络银行专业版需要同时偷走账号密码和证书，证书在尝试恢复时，系统会通过短信或邮件通知用户，并且证书的恢复过程中还多了输入口令的环节，安全性要高得多。

防被偷，就需要防木马，用网络银行专业版取代大众版，只在安全的电脑上登录。杀毒软件是很好的辅助工具，但是别迷信杀毒软件的报告。任何一款杀毒软件都不能保证你的系统不被植入木马，如果谁说可以，一定江湖骗子。比如，我在网吧登录QQ或网络游戏时，首先会看看进程，当然这不适用于一般用户，进程启动项，只有专业玩家才能看明白。普通用户可以这么干，打开一个记事本，随便写多段字串，其中含有登录密码，多次使用剪贴板复制密码的多个部分，组成真正的密码，将其粘贴到登录窗口，一定程度上可以避免号码被盗。还有，将你的QQ号，网游账号和手机绑定，方便你被盗后追回你的账号。(责任编辑：李磊)