端口扫描工具snoop_iis端口扫描

hacker|
313

如何关闭受到的入侵端口

1.直接查看

如果你是Windows9X系统,你只需找到c:\windows\service(注意是没有后缀名的)文 件,将要关闭的端口前加 ";",对于Windows NT/2000/XP的系统,该文件在c:\winnt\system32\drivers\etc中。

2.端口扫描

所谓的端口扫描就是向目标机发送一些数据,看这个端口所回应的数据,所以对于远程主机的扫描除了一般的扫描器外,最简单的就是用Windows自带的netstat命令并配合参数a。你就会看到一项state就是当前端口的连接状态,常见的连接状态有:

* ESTABLIUSHED表示当前的端口已建立连接

* FIN-wait表示该端口正在关闭中

* Time-wait表示该端口处于等待状态

* closed表示该端口处于关闭状态

listening表示该端口正在侦听可用的端口。此时如果1024以上的端口出现不连续的侦听状态,你可一定要注意。例如:BO:31337NETBUS:12345  冰河:7626等,要是在Windwos2000下,还有一个最迷人的命令,那就是for,看了以下的用法,你一定会为它的方便而惊讶:

for/l %a in(l,1,254)dostat/low/mintelnet 202.118.117.%a 3389

这条命令会扫出202.118.117.x网段内所有开放了3389端口的主机,命令执行后会在任务栏开254个小窗口,然后telnet连接失败的主机会在几秒钟 后自动关闭,剩下的当然就是开放该端口的主机 了 。

for/l%a in(l,1,65535)dostat/low/ mintelnet202.118.117.233%a

这条命令是用来扫描202.118.117.233主机所开的所有端口的。

当然,端口扫描除了以上方法外,最直接的就是用扫描器,现在的扫描器有很多都是自带攻击型的。

3.卸载相应的服务

IP端口与IP服务是相对应的,如果关闭了相应的服务,那么自然该端口也就关闭了。

例如:我们大家都知道21号端口是对应FTP服务的,如果体育FTP服务的话,你的21端口也是打开的。卸载时的步骤为:控制面板+添加/删除程序十添加Windows组件→信息服务管理→Internet信息服务(IIS)→详细信息→文件传输协议服务,完成后点击 "下一步"就行了。

4,端口过滤

对于Windows2000和XP系统而言,微软公司为它们提供了TCP/IP的筛选功能,也就是可以实现指定的IP端口与本机的连接。

具体的方法为 :网络邻居(右键)→属性→本地连接(右键)→属性→Internet协议(TCP/IP)→属性→高级→选项→TCP/IP筛选→属性,当你选择了"只允许"后,你就可以开始添加了(添加完毕后,需要重启方能生效)。

另外。也可以用 netstop关闭端口后虽然保障了我们电脑的安全性,但是也会减少某些方面的功能,所以领测建议大家在明白自己所需要的服务的情况下关闭端口。

IIS 80端口被system占用

IIS

80端口被占用,这种情况我也遇到过,一般来说是有个别程序占用了该端口建议:删除掉迅雷

如果还是没有解决,使用端口扫描工具扫描电脑的所有端口

IIS在Win2000 和WIN2003中的是如何设置的

系统安全:Windows系统安全设置方法初级安全篇 1.物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。 2.停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。 3.限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。 4.创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。 5.把系统administrator帐号改名 大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。 6.创建一个陷阱帐号 什么是陷阱帐号? Look!创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损! 7.把共享文件的权限从”everyone”组改成“授权用户” “everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。 8.使用安全密码 一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。 9.设置屏幕保护密码 很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。 10. 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。 11.运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 12.保障备份盘的安全 一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。 中级安全篇: 1.利用win2000的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。 2.关闭不必要的服务 windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务: Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation Netlogon Event log 3.关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: 网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。 4.打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败

高手进!!!!不会勿答

关闭闲置端口、屏蔽危险端口

黑客的探测方式里除了侦察IP,还有一项——端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的(可以理解为寻找通往计算机的通道)。

一、端口扫描

网上很容易找到远程端口扫描的工具,如Superscan、IP Scanner、Fluxay(流光)等(

。从端口扫描结果中我们可以清楚地了解,该主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”,以及IIS版本,是否有可以被成功攻破的IIS漏洞也显示出来。

二、阻止端口扫描

防范端口扫描的方法有两个:

1.关闭闲置和有潜在危险的端口

这个方法有些“死板”,它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”,而一些系统必要的通讯端口,如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。

在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的,可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了(如图2)。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等),它们对应的端口也被停用了。至于“只开放允许端口的方式”,可以利用系统的“TCP/IP筛选”功能实现,设置的时候,“只允许”系统的一些基本网络通讯需要的端口即可。

2.检查各端口,有端口扫描的症状时,立即屏蔽该端口

这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软件。这些软件就是我们常用的网络防火墙。

防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP端口”被打开;端口扫描时,对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口,防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。

现在市面上几乎所有网络防火墙都能够抵御端口扫描,在默认安装后,应该检查一些防火墙所拦截的端口扫描规则是否被选中,否则它会放行端口扫描,而只是在日志中留下信息而已。

我的自建网站无法正常运行

HTTP 500 内部服务器错误修正办法

一.错误表现

iis5的http500内部服务器错误是我们经常碰到的错误之一,它的主要错误表现就是asp程序不能浏览但htm静态网页不受影响。另外当错误发生时,系统事件日志和安全事件日志都会有相应的记录。

具体如下:

(一)ie中的表现

当浏览以前能够正常运行的asp页面时会出现如下的错误:

网页无法显示

您要访问的网页存在问题,因此无法显示。

请尝试下列操作:

打开主页,寻找指向所需信息的链接。

单击刷新按钮,或者以后重试。

http500-内部服务器错误

internet信息服务

技术信息(支持个人)

详细信息:

microsoft支持

或者是:

serverapplicationerror

theserverhasencounteredanerrorwhileloadinganapplicationduringtheprocessingofyourrequest.pleaserefertotheeventlogformoredetailinformation.pleasecontacttheserveradministratorforassistance.

(二)安全日志记录(2条)

事件类型:失败审核

事件来源:security

事件种类:登录/注销

事件id:529

日期:2001-9-9

事件:11:17:07

用户:ntauthority\system

计算机:myserver

描述:

登录失败:

原因:用户名未知或密码错误

用户名:iwam_myserver

域:mydom

登录类型:4

登录过程:advapi

身份验证程序包:microsoft_authentication_package_v1_0

工作站名:myserver

事件类型:失败审核

事件来源:security

事件种类:帐户登录

事件id:681

日期:2001-9-9

事件:11:17:07

用户:ntauthority\system

计算机:myserver

描述:

登录到帐户:iwam_myserver

登录的用户:microsoft_authentication_package_v1_0

从工作站:myserver

未成功。错误代码是:3221225578

(三)系统日志中的记录(2条)

事件类型:错误

事件来源:dcom

事件种类:无

事件id:10004

日期:2001-9-9

事件:11:20:26

用户:n/a

计算机:myserver

描述:

dcom遇到错误“无法更新密码。提供给新密码的值包含密码中不允许的值。”并且无法登录到.\iwam_myserver上以运行服务器:

3d14228d-fbe1-11d0-995d-00c04fd919c1}

事件类型:警告

事件来源:w3svc

事件种类:无

事件id:36

日期:2001-9-9

事件:11:20:26

用户:n/a

计算机:myserver

描述:

服务器未能转入应用程序‘/lm/w3svc/4/root‘。错误是‘runas的格式必须是域名\用户名或只是用户名‘。

若要获取关于此消息的更多的信息,请访问microsoft联机支持站点:。

二.原因分析

综合分析上面的错误表现我们可以看出,主要是由于iwam账号(在我的计算机即是iwam_myserver账号)的密码错误造成了http500内部错误。

在详细分析http500内部错误产生的原因之前,先对iwam账号进行一下简要的介绍:iwam账号是安装iis5时系统自动建立的一个内置账号,主要用于启动进程之外的应用程序的internet信息服务。iwam账号的名字会根据每台计算机netbios名字的不同而有所不同,通用的格式是iwam_machine,即由“iwam”前缀、连接线“_”加上计算机的netbios名字组成。我的计算机的netbios名字是myserver,因此我的计算机上iwam账号的名字就是iwam_myserver,这一点与iis匿名账号isur_machine的命名方式非常相似。

iwam账号建立后被activedirectory、iismetabase数据库和com+应用程序三方共同使用,账号密码被三方分别保存,并由操作系统负责这三方保存的iwam密码的同步工作。按常理说,由操作系统负责的工作我们大可放心,不必担心出错,但不知是bug还是其它什么原因,系统的对iwam账号的密码同步工作有时会失败,使三方iwam账号所用密码不统一。当iis或com+应用程序使用错误iwam的密码登录系统,启动iisout-of-processpooledapplications时,系统会因密码错误而拒绝这一请求,导致iisout-of-processpooledapplications启动失败,也就是我们在id10004错误事件中看到的“不能运行服务器3d14228d-fbe1-11d0-995d-00c04fd919c1}”(这里3d14228d-fbe1-11d0-995d-00c04fd919c1}是iisout-of-processpooledapplications的key),不能转入iis5应用程序,http500内部错误就这样产生了。

三.解决办法

知道了导致http500内部错误的原因,解决起来就比较简单了,那就是人工同步iwam账号在activedirectory、iismetabase数据库和com+应用程序中的密码。

具体操作分三步,均需要以管理员身份登录计算机以提供足够的操作权限(iwam账号以iwam_myserver为例)。

(一)更改activedirectory中iwam_myserver账号的密码

因iwam账号的密码由系统控制,随机产生,我们并不知道是什么,为完成下面两步的密码同步工作,我们必须将iwam账号的密码设置为一个我们知道的值。

1、选择“开始”-“程序”-“管理工具”-"activedirectory用户和计算机",启动“activedirectory用户和计算机”管理单元。

2、单击“user”,选中右面的“iwam_myserver”,右击选择“重设密码(t)...”,在跳出的重设密码对方框中给iwam_myserver设置新的密码,这儿我们设置成“aboutnt2001”(没有引号的),确定,等待密码修改成功。

(二)同步iismetabase中iwam_myserver账号的密码

可能因为这项改动太敏感和重要,微软并没有为我们修改iismetabase中iwam_myserver账号密码提供一个显式的用户接口,只随iis5提供了一个管理脚本adsutil.vbs,这个脚本位于c:\inetpub\adminscripts子目录下(位置可能会因你安装iis5时设置的不同而有所变动)。

adsutil.vbs脚本功能强大,参数非常多且用法复杂,这里只提供使用这个脚本修改iwam_myserver账号密码的方法:

adsutil set w3svc/wamuser passpassword

"password"参数就是要设置的iwam账号的新的密码。因此我们将iismetabase中iwam_myserver账号的密码修改为“aboutnt2001”的命令就是:

c:\inetpub\adminscriptsadsutil set w3svc/wamuserpass "aboutnt2001"

修改成功后,系统会有如下提示:

wamuserpass:(string)"aboutnt2001"

(三)同步com+应用程序所用的iwam_myserver的密码

同步com+应用程序所用的iwam_myserver的密码,我们有两种方式可以选择:一种是使用组件服务mmc管理单元,另一种是使用iwam账号同步脚本synciwam.vbs。

1、使用组件服务mmc管理单元

(1)启动组件服务管理单元:选择“开始”-“运行”-“mmc”,启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。

(2)找到“组件服务”-“计算机”-“我的电脑”-“com+应用程序”-“out-of-processpooledapplications”,右击“out-of-processpooledapplications”-“属性”。

(3)切换到“out-of-processpooledapplications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中,用户名是“iwam_myserver”。这些都是缺省的,不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“aboutnt2001”,确定退出。

(4)系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗?”时确定即可。

(5)如果我们在iis中将其它一些web的“应用程序保护”设置为“高(独立的)”,那么这个web所使用的com+应用程序的iwam账号密码也需要同步。重复(1)-(4)步,同步其它相应outofprocessapplication的iwam账号密码。

2、使用iwam账号同步脚本synciwam.vbs

实际上微软已经发现iwam账号在密码同步方面存在问题,因此在iis5的管理脚本中单独为iwam账号密码同步编写了一个脚本synciwam.vbs,这个脚本位于c:\inetpub\adminscripts子目录下(位置可能会因你安装iis5时设置的不同而有所变动)。

synciwam.vbs脚本用法比较简单:

cscriptsynciwam.vbs[-v|-h]

“-v”参数表示详细显示脚本执行的整个过程(建议使用),“-h”参数用于显示简单的帮助信息。

我们要同步iwam_myserver账号在com+应用程序中的密码,只需要执行“cscriptsynciwam.vbs-v”即可,如下:

cscriptc:\inetpub\adminscripts\synciwam.vbs -v

microsoft(r)windowsscripthostversion5.6

版权所有(c)microsoftcorporation1996-2000。保留所有权利。

wamusername:iwam_myserver

wamuserpass:aboutnt2001

iisapplicationsdefined:

name,appisolated,packageid

w3svc,0,3d14228c-fbe1-11d0-995d-00c04fd919c1}

root,2,

iishelp,2,

iisadmin,2,

iissamples,2,

msadc,2,

root,2,

iisadmin,2,

iishelp,2,

root,2,

root,2,

outofprocessapplicationsdefined:

count:1

3d14228d-fbe1-11d0-995d-00c04fd919c1}

updatingapplications:

name:iisout-of-processpooledapplicationskey:3d14228d-fbe1-11d0-995d-00c04fd919c1}

从上面脚本的执行情况可以看出,使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从iis的metabase数据库找到iwam账号"iwam_myserver"并取出对应的密码“aboutnt2001”,然后查找所有已定义的iisapplications和outofprocessapplications,并逐一同步每一个outofprocessapplications应用程序的iwam账号密码。

使用synciwam.vbs脚本时,要注意一个问题,那就是在你运行synciwam.vbs之前,必须保证iismetabase数据库与activedirectory中的iwam密码已经一致。因为synciwam.vbs脚本是从iismetabase数据库而不是从activedirectory取得iwam账号的密码,如果iismetabase中的密码不正确,那synciwam.vbs取得的密码也会不正确,同步操作执行到“updatingapplications”系统就会报80110414错误,即“找不到应用程序3d14228d-fbe1-11d0-995d-00c04fd919c1}”。

好了,到现在为止,iwam账号在activedirectory、iismetabase数据库和com+应用程序三处的密码已经同步成功,你的asp程序又可以运行了!

修改成功后,系统会有如下提示:

---------------------------------------------------

经过测试,显示应该是

wamuserpass:(string)"*******"

0条大神的评论

发表评论