自我保護 菜鳥系統安全自檢手冊(轉)

自我保護 菜鳥系統安全自檢手冊(轉)[@more@]

　　近來駭客攻擊事件頻頻發生，我們身邊的朋友也不斷有QQ、E-mail和遊戲賬號被盜事件發生。現在的駭客技術有朝著大眾化方向發展的趨勢，能夠掌握攻擊他人系統技術的人越來越多了，只要你的電腦稍微有點系統Bug或者安裝了有問題的應用程式，就有可能成為他人的肉雞。如何給一臺上網的機器查漏洞並做出相應的處理呢？

　　一、要命的埠

　　計算機要與外界進行通訊，必須透過一些埠。別人要想入侵和控制我們的電腦，也要從某些埠連線進來。某日筆者檢視了一位朋友的系統，吃驚地發現開放了139、445、3389、4899等重要埠，要知道這些埠都可以為駭客入侵提供便利，尤其是4899，可能是入侵者安裝的後門工具Radmin開啟的，他可以透過這個埠取得系統的完全控制權。

　　在Windows 98下，透過“開始”選取“執行”，然後輸入“command”(Windows 2000/XP/2003下在“執行”中輸入“cmd”)，進入命令提示視窗，然後輸入netstat/an，就可以看到本機埠開放和網路連線情況。

　　那怎麼關閉這些埠呢?因為計算機的每個埠都對應著某個服務或者應用程式，因此只要我們停止該服務或者解除安裝該程式，這些埠就自動關閉了。例如可以在“我的電腦 →控制皮膚→計算機管理→服務”中停止Radmin服務，就可以關閉4899埠了。

　　如果暫時沒有找到開啟某埠的服務或者停止該項服務可能會影響計算機的正常使用，我們也可以利用防火牆來遮蔽埠。以天網個人防火牆關閉4899埠為例。開啟天網“自定義IP規則”介面，點選“增加規則”新增一條新的規則，在“資料包方向”中選擇“接受”，在“對方IP地址”中選擇“任何地址”，在TCP選項卡的本地埠中填寫從4899到0，對方埠填寫從0到0，在“當滿足上面條件時”中選擇“攔截”，這樣就可以關閉4899埠了。其他的埠關閉方法可以此類推。

　　　　二、敵人的“程式”

　　在Windows 2000下，可以透過同時按下“Ctrl+Alt+Del”鍵調出工作管理員來檢視和關閉程式;但在Windows 98下按“Ctrl+Alt+del”鍵只能看到部分應用程式，有些服務級的程式卻被隱藏因而無法看到了，不過透過系統自帶的工具msinfo32還是可以看到的。在“開始→執行”裡輸入msinfo32，開啟“Microsoft 系統資訊”介面，在“軟體環境”的“正在執行任務”下可以看到本機的程式。但是在Windows 98下要想終止程式，還是得透過第三方的工具。很多系統最佳化軟體都帶有檢視和關閉程式的工具，如春光系統修改器等。

　　但目前很多木馬程式都會偽裝系統程式，新手朋友很難分辨其真偽，所以這裡推薦一款強大的殺木馬工具──“”，它可以查殺8000多種國際木馬，1000多種密碼偷竊木馬，功能十分強大，實在是安全上網的必備工具！

　　三、小心，遠端管理軟體有大麻煩

　　　　現在很多人都喜歡在自己的機器上安裝遠端管理軟體，如Pcanywhere、Radmin、VNC或者Windows自帶的遠端桌面，這確實方便了遠端管理維護和辦公，但同時遠端管理軟體也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著口令檔案*.CIF容易被解密(解碼而非爆破)的問題，一旦入侵者透過某種途徑得到了*.CIF檔案，他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號和密碼。

　　而Radmin則主要是空口令問題，因為Radmin預設為空口令，所以大多數人安裝了Radmin之後，都忽略了口令安全設定，因此，任何一個攻擊者都可以用Radmin客戶端連線上安裝了Radmin的機器，並做一切他想做的事情。

　　Windows系統自帶的遠端桌面也會給駭客入侵提供方便的大門，當然是在他透過一定的手段拿到了一個可以訪問的賬號之後。

　　可以說幾乎每種遠端管理軟體都有它的問題，如本報43期G12版介紹的強大的遠端管理軟體DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩衝區溢位漏洞，駭客可以利用這個漏洞在系統上執行任意指令。所以，要安全地遠端使用它就要進行IP限制。這裡以Windows 2000遠端桌面為例，談談6129埠(DameWare Mini Remote Control使用的埠)的IP限制:開啟天網“自定義IP規則”介面，點選“增加規則”新增一條新的規則。在“資料包方向”中選擇“接受”，在“對方IP地址”中選擇“指定地址”，然後填寫你的IP地址，在TCP選項卡的本地埠中填寫從6129到0，對方埠填寫從0到0，在“當滿足上面條件時”中選擇“通行”，這樣一來除了你指定的那個IP(這裡假定為192.168.1.70)之外，別人都連線不到你的電腦上了。

　　安裝最新版的遠端控制軟體也有利於提高安全性，比如最新版的Pcanywhere的密碼檔案採用了較強的加密方案。

　　四、“專業人士”幫你免費檢測

　　很多安全站點都提供了線上檢測，可以幫助我們發現系統的問題，如天網安全線上推出的線上安全檢測系統──天網醫生，它能夠檢測你的計算機存在的一些安全隱患，並且根據檢測結果判斷你係統的級別，引導你進一步解決你係統中可能存在的安全隱患。

　　天網醫生可以提供木馬檢測、系統安全性檢測、埠掃描檢測、資訊洩漏檢測等四個安全檢測專案，可能得出四種結果:極度危險、中等危險、相當安全和超時或有防火牆。其他知名的線上安全檢測站點還有千禧線上以及藍盾線上檢測。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意程式碼、網頁木馬的招兒，就是一個專門檢測IE是否存在安全漏洞的站點，大家可以根據提示操作。

　　五、自己掃描自己

　　天網醫生主要針對網路新手，而且是遠端檢測，速度比不上本地，所以如果你有一定的基礎，最好使用安全檢測工具(漏洞掃描工具)手工檢測系統漏洞。

　　我們知道，駭客在入侵他人系統之前，常常用自動化工具對目標機器進行掃描，我們也可以借鑑這個思路，在另一臺電腦上用漏洞掃描器對自己的機子進行檢測。功能強大且容易上手的國產掃描器首推X-Scan，當然小蓉流光也很不錯。

　　以X-Scan為例，它有開放埠、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個掃描選項，更為重要的是列出系統漏洞之外，它還給出了十分詳盡的解決方案，我們只需要“按方抓藥”即可。

　　例如，用X-Scan對隔壁某臺計算機進行完全掃描之後，發現如下漏洞: 　　

　　[192.168.1.70]: 埠135開放: Location Service　　

　　[192.168.1.70]: 埠139開放: NET BIOS Session Service　　

　　[192.168.1.70]: 埠445開放: Mi crosoft-DS　　

　　[192.168.1.70]: 發現 NT-Server弱口令: user/[空口令]　　

　　[192.168.1.70]: 發現 “NetBios資訊”　　

　　從其中我們可以發現，Windows 2000弱口令的問題，這是個很嚴重的漏洞。NetBios資訊暴露也給駭客的進一步進攻提供了方便，解決辦法是給User賬號設定一個複雜的密碼，並在中關閉135～139埠。

　　　　六、別小瞧Windows Update

　　微軟通常會在病毒和攻擊工具氾濫之前開發出相應的補丁工具，只要點選“開始”選單中的Windows Update，就到了微軟的Windows Update網站，在這裡下載最新的補丁程式。所以每週訪問Windows Update網站及時更新系統一次，基本上就能把駭客和病毒拒之門外。