首先,我会告诉你我最担心的东西。也就是跳板。
对跳板作免杀或独自开发跳板可以隐藏hacker的踪迹。
端口的改动更让人难以捕捉。
我怀着淡淡的隐忧,来告诉你防御终端登录,防御内网上线的方法。
由于微软的终端服务不会被杀软所查杀。而免杀的木马却会因杀软的升级而被发现,
所以我先向你介绍防御hacker登录你的系统的相关知识。
大部分黑客在得到系统权限时,第一时间里会打开你的终端服务。
你需要注意自己是否有隐藏的超级用户,
也需要观看自已的终端服务端口是不是仍是3389
先打开注册表编辑器。
找到HKEY_LOCAL_MACHINE\SAM\SAM,将当前用户的权限设为完全控制。
关闭注册表再打开将会发现在HKEY_LOCAL_MACHINE\SAM\SAM位置下多了
很多的键值。
找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users,展开后有没有看到
你不认识的用户?这里就是隐藏超级帐户的藏匿位置。
hacker修改3389端口要修改两个位置
查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
中的PortNumber,默认是3389
和
:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
中的portnumber,默认是3389
记下这个值,并在运行,CMD中输入netstat -ano。看看是不是有对应的端口在连接网络?
删除隐藏超级隐藏帐户或修改这里的端口都可以挫败hacker利用终端的企图。
********************************************************************************************
下面,我将告诉你另一项黑客对查看你的屏幕的防御之术。
内网的用户比ADSL的用户有更高的安全性。hacker想要攻击内网必须要为内网用户作NAT(网络地址转换)或DMZ(非军事区)
所谓NAT,是将内网地址映射到公网的地址的作法,是单向的作用。所谓DMZ,是使DMZ主机能够映射到公网,却和所有内网机器
隔离的作法。所以,一旦受到攻击,路由器上的日志就成为辅证。
现在说一下内网上线的原理。在为内网机器开通了NAT之后,内网机器会向互联网上的某IP发送数据包。这就是反弹端口木马。
我们只要拦截其tcp80端口就可以了.
防御方法,选择瑞星防火墙。详细设置。IP。规则名为反弹端口木马,勾选充许任意数据包通过并记录日志。本地IP为任意IP。
远程IP为任意IP,远程IP的80端口,本地IP的任意端口,并在报警模式中勾选了所有选项。
这样就设好了规则。
到了日志里,查看防火墙日志。IP子选项。如图Captura5
然后选择瑞星防火墙。详细设置。规则。端口。添加如图5中的可疑端口。如图Captura6
我添加了许多高端端口:)只是这些端口不一定是木马啦。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8)
