系統(tǒng)安全自檢手冊(cè)

2010-08-28 10:49:44來源:西部e網(wǎng)作者:

    近來黑客攻擊事件頻頻發(fā)生,我們身邊的朋友也不斷有QQ、E-mail和游戲賬號(hào)被盜事件發(fā)生,F(xiàn)在的黑客技術(shù)有朝著大眾化方向發(fā)展的趨勢(shì),能夠掌握攻擊他人系統(tǒng)技術(shù)的人越來越多了,只要你的電腦稍微有點(diǎn)系統(tǒng)Bug或者安裝了有問題的應(yīng)用程序,就有可能成為他人的肉雞。如何給一臺(tái)上網(wǎng)的機(jī)器查漏洞并做出相應(yīng)的處理呢?

  一、要命的端口

  計(jì)算機(jī)要與外界進(jìn)行通信,必須通過一些端口。別人要想入侵和控制我們的電腦,也要從某些端口連接進(jìn)來。某日筆者查看了一位朋友的系統(tǒng),吃驚地發(fā)現(xiàn)開放了139、445、3389、4899等重要端口,要知道這些端口都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的后門工具Radmin打開的,他可以通過這個(gè)端口取得系統(tǒng)的完全控制權(quán)。

  在Windows 98下,通過“開始”選取“運(yùn)行”,然后輸入“command”(Windows 2000/XP/2003下在“運(yùn)行”中輸入“cmd”),進(jìn)入命令提示窗口,然后輸入netstat/an,就可以看到本機(jī)端口開放和網(wǎng)絡(luò)連接情況。

  那怎么關(guān)閉這些端口呢?因?yàn)橛?jì)算機(jī)的每個(gè)端口都對(duì)應(yīng)著某個(gè)服務(wù)或者應(yīng)用程序,因此只要我們停止該服務(wù)或者卸載該程序,這些端口就自動(dòng)關(guān)閉了。例如可以在“我的電腦 →控制面板→計(jì)算機(jī)管理→服務(wù)”中停止Radmin服務(wù),就可以關(guān)閉4899端口了。

  如果暫時(shí)沒有找到打開某端口的服務(wù)或者停止該項(xiàng)服務(wù)可能會(huì)影響計(jì)算機(jī)的正常使用,我們也可以利用防火墻來屏蔽端口。以天網(wǎng)個(gè)人防火墻關(guān)閉4899端口為例。打開天網(wǎng)“自定義IP規(guī)則”界面,點(diǎn)擊“增加規(guī)則”添加一條新的規(guī)則,在“數(shù)據(jù)包方向”中選擇“接受”,在“對(duì)方IP地址”中選擇“任何地址”,在TCP選項(xiàng)卡的本地端口中填寫從4899到0,對(duì)方端口填寫從0到0,在“當(dāng)滿足上面條件時(shí)”中選擇“攔截”,這樣就可以關(guān)閉4899端口了。其他的端口關(guān)閉方法可以此類推。

  二、敵人的“進(jìn)程”

  在Windows 2000下,可以通過同時(shí)按下“Ctrl+Alt+Del”鍵調(diào)出任務(wù)管理器來查看和關(guān)閉進(jìn)程;但在Windows 98下按“Ctrl+Alt+del”鍵只能看到部分應(yīng)用程序,有些服務(wù)級(jí)的進(jìn)程卻被隱藏因而無法看到了,不過通過系統(tǒng)自帶的工具msinfo32還是可以看到的。在“開始→運(yùn)行”里輸入msinfo32,打開“Microsoft 系統(tǒng)信息”界面,在“軟件環(huán)境”的“正在運(yùn)行任務(wù)”下可以看到本機(jī)的進(jìn)程。但是在Windows 98下要想終止進(jìn)程,還是得通過第三方的工具。很多系統(tǒng)優(yōu)化軟件都帶有查看和關(guān)閉進(jìn)程的工具,如春光系統(tǒng)修改器等。

  但目前很多木馬進(jìn)程都會(huì)偽裝系統(tǒng)進(jìn)程,新手朋友很難分辨其真?zhèn),所以這里推薦一款強(qiáng)大的殺木馬工具──“木馬克星”,它可以查殺8000多種國(guó)際木馬,1000多種密碼偷竊木馬,功能十分強(qiáng)大,實(shí)在是安全上網(wǎng)的必備工具!

  三、小心,遠(yuǎn)程管理軟件有大麻煩

  現(xiàn)在很多人都喜歡在自己的機(jī)器上安裝遠(yuǎn)程管理軟件,如Pcanywhere、Radmin、VNC或者Windows自帶的遠(yuǎn)程桌面,這確實(shí)方便了遠(yuǎn)程管理維護(hù)和辦公,但同時(shí)遠(yuǎn)程管理軟件也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號(hào)和密碼。

  而Radmin則主要是空口令問題,因?yàn)镽admin默認(rèn)為空口令,所以大多數(shù)人安裝了Radmin之后,都忽略了口令安全設(shè)置,因此,任何一個(gè)攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機(jī)器,并做一切他想做的事情。

  Windows系統(tǒng)自帶的遠(yuǎn)程桌面也會(huì)給黑客入侵提供方便的大門,當(dāng)然是在他通過一定的手段拿到了一個(gè)可以訪問的賬號(hào)之后。

  可以說幾乎每種遠(yuǎn)程管理軟件都有它的問題,如本報(bào)43期G12版介紹的強(qiáng)大的遠(yuǎn)程管理軟件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩沖區(qū)溢出漏洞,黑客可以利用這個(gè)漏洞在系統(tǒng)上執(zhí)行任意指令。所以,要安全地遠(yuǎn)程使用它就要進(jìn)行IP限制。這里以Windows 2000遠(yuǎn)程桌面為例,談?wù)?129端口(DameWare Mini Remote Control使用的端口)的IP限制:打開天網(wǎng)“自定義IP規(guī)則”界面,點(diǎn)擊“增加規(guī)則”添加一條新的規(guī)則。在“數(shù)據(jù)包方向”中選擇“接受”,在“對(duì)方IP地址”中選擇“指定地址”,然后填寫你的IP地址,在TCP選項(xiàng)卡的本地端口中填寫從6129到0,對(duì)方端口填寫從0到0,在“當(dāng)滿足上面條件時(shí)”中選擇“通行”,這樣一來除了你指定的那個(gè)IP(這里假定為192.168.1.70)之外,別人都連接不到你的電腦上了。

  安裝最新版的遠(yuǎn)程控制軟件也有利于提高安全性,比如最新版的Pcanywhere的密碼文件采用了較強(qiáng)的加密方案。

  四、“專業(yè)人士”幫你免費(fèi)檢測(cè)

  很多安全站點(diǎn)都提供了在線檢測(cè),可以幫助我們發(fā)現(xiàn)系統(tǒng)的問題,如天網(wǎng)安全在線推出的在線安全檢測(cè)系統(tǒng)──天網(wǎng)醫(yī)生,它能夠檢測(cè)你的計(jì)算機(jī)存在的一些安全隱患,并且根據(jù)檢測(cè)結(jié)果判斷你系統(tǒng)的級(jí)別,引導(dǎo)你進(jìn)一步解決你系統(tǒng)中可能存在的安全隱患。

  天網(wǎng)醫(yī)生可以提供木馬檢測(cè)、系統(tǒng)安全性檢測(cè)、端口掃描檢測(cè)、信息泄漏檢測(cè)等四個(gè)安全檢測(cè)項(xiàng)目,可能得出四種結(jié)果:極度危險(xiǎn)、中等危險(xiǎn)、相當(dāng)安全和超時(shí)或有防火墻。其他知名的在線安全檢測(cè)站點(diǎn)還有千禧在線以及藍(lán)盾在線檢測(cè)。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意代碼、網(wǎng)頁木馬的招兒,就是一個(gè)專門檢測(cè)IE是否存在安全漏洞的站點(diǎn),大家可以根據(jù)提示操作。

  五、自己掃描自己

  天網(wǎng)醫(yī)生主要針對(duì)網(wǎng)絡(luò)新手,而且是遠(yuǎn)程檢測(cè),速度比不上本地,所以如果你有一定的基礎(chǔ),最好使用安全檢測(cè)工具(漏洞掃描工具)手工檢測(cè)系統(tǒng)漏洞。

  我們知道,黑客在入侵他人系統(tǒng)之前,常常用自動(dòng)化工具對(duì)目標(biāo)機(jī)器進(jìn)行掃描,我們也可以借鑒這個(gè)思路,在另一臺(tái)電腦上用漏洞掃描器對(duì)自己的機(jī)子進(jìn)行檢測(cè)。功能強(qiáng)大且容易上手的國(guó)產(chǎn)掃描器首推X-Scan,當(dāng)然小蓉流光也很不錯(cuò)。

  以X-Scan為例,它有開放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個(gè)掃描選項(xiàng),更為重要的是列出系統(tǒng)漏洞之外,它還給出了十分詳盡的解決方案,我們只需要“按方抓藥”即可。

  例如,用X-Scan對(duì)隔壁某臺(tái)計(jì)算機(jī)進(jìn)行完全掃描之后,發(fā)現(xiàn)如下漏洞:

  [192.168.1.70]: 端口135開放: Location Service

  [192.168.1.70]: 端口139開放: NET BIOS Session Service

  [192.168.1.70]: 端口445開放: Mi crosoft-DS

  [192.168.1.70]: 發(fā)現(xiàn) NT-Server弱口令: user/[空口令]

  [192.168.1.70]: 發(fā)現(xiàn) “NetBios信息”

  從其中我們可以發(fā)現(xiàn),Windows 2000弱口令的問題,這是個(gè)很嚴(yán)重的漏洞。NetBios信息暴露也給黑客的進(jìn)一步進(jìn)攻提供了方便,解決辦法是給User賬號(hào)設(shè)置一個(gè)復(fù)雜的密碼,并在天網(wǎng)防火墻中關(guān)閉135~139端口。

  六、別小瞧Windows Update

  微軟通常會(huì)在病毒和攻擊工具泛濫之前開發(fā)出相應(yīng)的補(bǔ)丁工具,只要點(diǎn)擊“開始”菜單中的Windows Update,就到了微軟的Windows Update網(wǎng)站,在這里下載最新的補(bǔ)丁程序。所以每周訪問Windows Update網(wǎng)站及時(shí)更新系統(tǒng)一次,基本上就能把黑客和病毒拒之門外。

關(guān)鍵詞:系統(tǒng)

贊助商鏈接: