端口扫描工具snoop_iis端口扫描

如何关闭受到的入侵端口

1.直接查看

如果你是Windows9X系统，你只需找到c:\windows\service(注意是没有后缀名的)文 件，将要关闭的端口前加 ";"，对于Windows NT/2000/XP的系统，该文件在c:\winnt\system32\drivers\etc中。

2.端口扫描

所谓的端口扫描就是向目标机发送一些数据，看这个端口所回应的数据，所以对于远程主机的扫描除了一般的扫描器外，最简单的就是用Windows自带的netstat命令并配合参数a。你就会看到一项state就是当前端口的连接状态，常见的连接状态有:

* ESTABLIUSHED表示当前的端口已建立连接

* FIN-wait表示该端口正在关闭中

* Time-wait表示该端口处于等待状态

* closed表示该端口处于关闭状态

listening表示该端口正在侦听可用的端口。此时如果1024以上的端口出现不连续的侦听状态，你可一定要注意。例如:BO:31337NETBUS:12345　 冰河:7626等，要是在Windwos2000下，还有一个最迷人的命令，那就是for，看了以下的用法，你一定会为它的方便而惊讶:

for/l %a in(l,1,254)dostat/low/mintelnet 202.118.117.%a 3389

这条命令会扫出202.118.117.x网段内所有开放了3389端口的主机，命令执行后会在任务栏开254个小窗口，然后telnet连接失败的主机会在几秒钟 后自动关闭，剩下的当然就是开放该端口的主机 了 。

for/l%a in(l,1,65535)dostat/low/ mintelnet202.118.117.233%a

这条命令是用来扫描202.118.117.233主机所开的所有端口的。

当然，端口扫描除了以上方法外，最直接的就是用扫描器，现在的扫描器有很多都是自带攻击型的。

3.卸载相应的服务

IP端口与IP服务是相对应的，如果关闭了相应的服务，那么自然该端口也就关闭了。

例如:我们大家都知道21号端口是对应FTP服务的，如果体育FTP服务的话，你的21端口也是打开的。卸载时的步骤为:控制面板+添加/删除程序十添加Windows组件→信息服务管理→Internet信息服务(IIS)→详细信息→文件传输协议服务，完成后点击 "下一步"就行了。

4，端口过滤

对于Windows2000和XP系统而言，微软公司为它们提供了TCP/IP的筛选功能，也就是可以实现指定的IP端口与本机的连接。

具体的方法为 :网络邻居(右键)→属性→本地连接(右键)→属性→Internet协议(TCP/IP)→属性→高级→选项→TCP/IP筛选→属性，当你选择了"只允许"后，你就可以开始添加了(添加完毕后，需要重启方能生效)。

另外。也可以用 netstop关闭端口后虽然保障了我们电脑的安全性，但是也会减少某些方面的功能，所以领测建议大家在明白自己所需要的服务的情况下关闭端口。

IIS 80端口被system占用

IIS

80端口被占用，这种情况我也遇到过，一般来说是有个别程序占用了该端口建议：删除掉迅雷

如果还是没有解决，使用端口扫描工具扫描电脑的所有端口

IIS在Win2000 和ＷＩＮ２００３中的是如何设置的

系统安全：Windows系统安全设置方法初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。 2.停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。 3．限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 4．创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。 5．把系统administrator帐号改名 大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 6．创建一个陷阱帐号 什么是陷阱帐号? Look！创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！ 7.把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。 8.使用安全密码 一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。 9.设置屏幕保护密码 很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。 10． 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。 11．运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 12．保障备份盘的安全 一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。 中级安全篇： 1．利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。 2．关闭不必要的服务 windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务： Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation Netlogon Event log 3．关闭不必要的端口 关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为： 网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。 4．打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加： 策略 设置 审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败

高手进！！！！不会勿答

关闭闲置端口、屏蔽危险端口

黑客的探测方式里除了侦察IP，还有一项——端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。

一、端口扫描

网上很容易找到远程端口扫描的工具，如Superscan、IP Scanner、Fluxay(流光)等(

。从端口扫描结果中我们可以清楚地了解，该主机的哪些非常用端口是打开的；是否支持FTP、Web服务；且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也显示出来。

二、阻止端口扫描

防范端口扫描的方法有两个：

1.关闭闲置和有潜在危险的端口

这个方法有些“死板”，它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口)；QQ(4000端口)等不能被关闭。

在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了(如图2)。进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等)，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。

2.检查各端口，有端口扫描的症状时，立即屏蔽该端口

这种预防端口扫描的方式显然用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开；端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口，防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

我的自建网站无法正常运行

HTTP 500 内部服务器错误修正办法

一.错误表现

iis5的http500内部服务器错误是我们经常碰到的错误之一，它的主要错误表现就是asp程序不能浏览但htm静态网页不受影响。另外当错误发生时，系统事件日志和安全事件日志都会有相应的记录。

具体如下：

(一)ie中的表现

当浏览以前能够正常运行的asp页面时会出现如下的错误:

网页无法显示

您要访问的网页存在问题，因此无法显示。

请尝试下列操作：

打开主页，寻找指向所需信息的链接。

单击刷新按钮，或者以后重试。

http500-内部服务器错误

internet信息服务

技术信息（支持个人）

详细信息：

microsoft支持

或者是:

serverapplicationerror

theserverhasencounteredanerrorwhileloadinganapplicationduringtheprocessingofyourrequest.pleaserefertotheeventlogformoredetailinformation.pleasecontacttheserveradministratorforassistance.

(二)安全日志记录(2条)

事件类型:失败审核

事件来源:security

事件种类:登录/注销

事件id:529

日期:2001-9-9

事件:11:17:07

用户:ntauthority\system

计算机:myserver

描述:

登录失败:

原因:用户名未知或密码错误

用户名:iwam_myserver

域:mydom

登录类型:4

登录过程:advapi

身份验证程序包:microsoft_authentication_package_v1_0

工作站名:myserver

事件类型:失败审核

事件来源:security

事件种类:帐户登录

事件id:681

日期:2001-9-9

事件:11:17:07

用户:ntauthority\system

计算机:myserver

描述:

登录到帐户:iwam_myserver

登录的用户:microsoft_authentication_package_v1_0

从工作站:myserver

未成功。错误代码是:3221225578

(三)系统日志中的记录(2条)

事件类型:错误

事件来源:dcom

事件种类:无

事件id:10004

日期:2001-9-9

事件:11:20:26

用户:n/a

计算机:myserver

描述:

dcom遇到错误“无法更新密码。提供给新密码的值包含密码中不允许的值。”并且无法登录到.\iwam_myserver上以运行服务器:

3d14228d-fbe1-11d0-995d-00c04fd919c1}

事件类型:警告

事件来源:w3svc

事件种类:无

事件id:36

日期:2001-9-9

事件:11:20:26

用户:n/a

计算机:myserver

描述:

服务器未能转入应用程序‘/lm/w3svc/4/root‘。错误是‘runas的格式必须是域名\用户名或只是用户名‘。

若要获取关于此消息的更多的信息，请访问microsoft联机支持站点:。

二.原因分析

综合分析上面的错误表现我们可以看出，主要是由于iwam账号（在我的计算机即是iwam_myserver账号）的密码错误造成了http500内部错误。

在详细分析http500内部错误产生的原因之前，先对iwam账号进行一下简要的介绍：iwam账号是安装iis5时系统自动建立的一个内置账号，主要用于启动进程之外的应用程序的internet信息服务。iwam账号的名字会根据每台计算机netbios名字的不同而有所不同，通用的格式是iwam_machine，即由“iwam”前缀、连接线“_”加上计算机的netbios名字组成。我的计算机的netbios名字是myserver，因此我的计算机上iwam账号的名字就是iwam_myserver，这一点与iis匿名账号isur_machine的命名方式非常相似。

iwam账号建立后被activedirectory、iismetabase数据库和com+应用程序三方共同使用，账号密码被三方分别保存，并由操作系统负责这三方保存的iwam密码的同步工作。按常理说，由操作系统负责的工作我们大可放心，不必担心出错，但不知是bug还是其它什么原因，系统的对iwam账号的密码同步工作有时会失败，使三方iwam账号所用密码不统一。当iis或com+应用程序使用错误iwam的密码登录系统，启动iisout-of-processpooledapplications时，系统会因密码错误而拒绝这一请求，导致iisout-of-processpooledapplications启动失败，也就是我们在id10004错误事件中看到的“不能运行服务器3d14228d-fbe1-11d0-995d-00c04fd919c1}”（这里3d14228d-fbe1-11d0-995d-00c04fd919c1}是iisout-of-processpooledapplications的key），不能转入iis5应用程序，http500内部错误就这样产生了。

三.解决办法

知道了导致http500内部错误的原因，解决起来就比较简单了，那就是人工同步iwam账号在activedirectory、iismetabase数据库和com+应用程序中的密码。

具体操作分三步,均需要以管理员身份登录计算机以提供足够的操作权限（iwam账号以iwam_myserver为例）。

（一）更改activedirectory中iwam_myserver账号的密码

因iwam账号的密码由系统控制，随机产生，我们并不知道是什么，为完成下面两步的密码同步工作，我们必须将iwam账号的密码设置为一个我们知道的值。

1、选择“开始”-“程序”-“管理工具”-"activedirectory用户和计算机"，启动“activedirectory用户和计算机”管理单元。

2、单击“user”，选中右面的“iwam_myserver”，右击选择“重设密码(t)...”，在跳出的重设密码对方框中给iwam_myserver设置新的密码，这儿我们设置成“aboutnt2001”（没有引号的），确定，等待密码修改成功。

（二）同步iismetabase中iwam_myserver账号的密码

可能因为这项改动太敏感和重要，微软并没有为我们修改iismetabase中iwam_myserver账号密码提供一个显式的用户接口，只随iis5提供了一个管理脚本adsutil.vbs，这个脚本位于c:\inetpub\adminscripts子目录下（位置可能会因你安装iis5时设置的不同而有所变动）。

adsutil.vbs脚本功能强大，参数非常多且用法复杂，这里只提供使用这个脚本修改iwam_myserver账号密码的方法:

adsutil set w3svc/wamuser passpassword

"password"参数就是要设置的iwam账号的新的密码。因此我们将iismetabase中iwam_myserver账号的密码修改为“aboutnt2001”的命令就是：

c:\inetpub\adminscriptsadsutil set w3svc/wamuserpass "aboutnt2001"

修改成功后，系统会有如下提示：

wamuserpass:(string)"aboutnt2001"

（三）同步com+应用程序所用的iwam_myserver的密码

同步com+应用程序所用的iwam_myserver的密码，我们有两种方式可以选择:一种是使用组件服务mmc管理单元，另一种是使用iwam账号同步脚本synciwam.vbs。

1、使用组件服务mmc管理单元

（1）启动组件服务管理单元：选择“开始”-“运行”-“mmc”，启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。

（2）找到“组件服务”-“计算机”-“我的电脑”-“com+应用程序”-“out-of-processpooledapplications”，右击“out-of-processpooledapplications”-“属性”。

（3）切换到“out-of-processpooledapplications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中，用户名是“iwam_myserver”。这些都是缺省的，不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“aboutnt2001”，确定退出。

（4）系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗？”时确定即可。

（5）如果我们在iis中将其它一些web的“应用程序保护”设置为“高（独立的）”,那么这个web所使用的com+应用程序的iwam账号密码也需要同步。重复（1）-（4）步，同步其它相应outofprocessapplication的iwam账号密码。

2、使用iwam账号同步脚本synciwam.vbs

实际上微软已经发现iwam账号在密码同步方面存在问题，因此在iis5的管理脚本中单独为iwam账号密码同步编写了一个脚本synciwam.vbs，这个脚本位于c:\inetpub\adminscripts子目录下（位置可能会因你安装iis5时设置的不同而有所变动）。

synciwam.vbs脚本用法比较简单：

cscriptsynciwam.vbs[-v|-h]

“-v”参数表示详细显示脚本执行的整个过程(建议使用)，“-h”参数用于显示简单的帮助信息。

我们要同步iwam_myserver账号在com+应用程序中的密码，只需要执行“cscriptsynciwam.vbs-v”即可，如下：

cscriptc:\inetpub\adminscripts\synciwam.vbs -v

microsoft(r)windowsscripthostversion5.6

版权所有(c)microsoftcorporation1996-2000。保留所有权利。

wamusername:iwam_myserver

wamuserpass:aboutnt2001

iisapplicationsdefined:

name,appisolated,packageid

w3svc,0,3d14228c-fbe1-11d0-995d-00c04fd919c1}

root,2,

iishelp,2,

iisadmin,2,

iissamples,2,

msadc,2,

root,2,

iisadmin,2,

iishelp,2,

root,2,

root,2,

outofprocessapplicationsdefined:

count:1

3d14228d-fbe1-11d0-995d-00c04fd919c1}

updatingapplications:

name:iisout-of-processpooledapplicationskey:3d14228d-fbe1-11d0-995d-00c04fd919c1}

从上面脚本的执行情况可以看出，使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从iis的metabase数据库找到iwam账号"iwam_myserver"并取出对应的密码“aboutnt2001”，然后查找所有已定义的iisapplications和outofprocessapplications，并逐一同步每一个outofprocessapplications应用程序的iwam账号密码。

使用synciwam.vbs脚本时，要注意一个问题，那就是在你运行synciwam.vbs之前，必须保证iismetabase数据库与activedirectory中的iwam密码已经一致。因为synciwam.vbs脚本是从iismetabase数据库而不是从activedirectory取得iwam账号的密码，如果iismetabase中的密码不正确，那synciwam.vbs取得的密码也会不正确，同步操作执行到“updatingapplications”系统就会报80110414错误，即“找不到应用程序3d14228d-fbe1-11d0-995d-00c04fd919c1}”。

好了，到现在为止，iwam账号在activedirectory、iismetabase数据库和com+应用程序三处的密码已经同步成功，你的asp程序又可以运行了！

修改成功后，系统会有如下提示：

---------------------------------------------------

经过测试，显示应该是

wamuserpass:(string)"*******"