学会自我保护菜鸟系统安全自检手册

最近黑客攻击事件频发，身边的朋友一直在盗取QQ、邮箱、游戏账号。如今，黑客技术有普及的趋势，越来越多的人能够掌握攻击他人系统的技术。只要你的电脑出现一点系统Bug或者安装了有问题的应用，就有可能成为别人的肉鸡。如何检查一台在线机器的漏洞并进行相应的处理？

首先，致命港口

为了与外界通信，计算机必须通过一些端口。如果别人想入侵控制我们的电脑，就得通过一些端口连接。某日，笔者查看朋友的系统，惊讶地发现139、445、3389、4899等重要端口都被打开了。要知道这些端口都可以为黑客提供便利，尤其是4899，可能已经被入侵者安装的后门工具Radmin打开，他可以通过这个端口获得系统的完全控制权。

在Windows 98下，通过Start选择Run，然后输入Command(在Windows 2000/XP/2003下，在Run中输入cmd)，进入命令提示窗口，然后输入netstat/an，就可以看到本地端口打开和网络连接。

那么如何关闭这些端口呢？因为计算机的每个端口都对应某个服务或应用程序，所以一旦我们停止服务或卸载程序，这些端口就会自动关闭。比如可以在“我的电脑→控制面板→电脑管理→服务”中停止Radmin服务，可以关闭4899端口。
如果暂时找不到打开端口的服务或者停止服务可能会影响电脑的正常使用，我们也可以使用防火墙屏蔽端口。以天网个人防火墙关闭4899端口为例。打开天网的自定义IP规则界面，点击添加规则添加一条新规则，选择数据包方向接受，选择对方IP地址中的任意地址，在TCP页签中填写本地端口从4899到0，填写对方端口从0到0，满足以上条件时选择阻塞进入。其他端口关闭方法可以类推。

第二，敌人的“过程”

在Windows 2000下，同时按“Ctrl+Alt+Del”可以调出任务管理器，查看和关闭进程；但是在Windows 98中，按下“Ctrl+Alt+del”键只能看到部分应用程序，而一些服务级的进程是隐藏在视图之外的，但是通过系统自带的工具msinfo32仍然可以看到。在“开始→运行”中输入msinfo32，打开微软系统信息的界面，在软件环境中的“运行任务”下可以看到本地进程。但是在Windows 98中，如果要终止进程，还是要使用第三方工具。很多系统优化软件都有查看和关闭进程的工具，比如Spring System Modifier。

但目前很多木马进程伪装了系统进程，新手朋友很难辨别真伪。所以这里推荐一款强大的木马杀手，可以查杀8000多种国际木马和1000多种密码窃取木马。它的功能非常强大，真的是安全上网的必备工具！

第三，小心，远程管理软件麻烦大了。

现在很多人都喜欢在自己的机器上安装远程管理软件，比如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面，确实方便了远程管理、维护和办公，但同时远程管理软件也给我们带来了很多安全隐患。例如，PCAnywhere版和更早的版本存在密码文件*。CIF很容易被解密(解码而不是爆炸)。一旦入侵者得到了*。CIF文件，他可以使用一个名为Pcanywherepwd的工具来破解管理员的帐号和密码。

Radmin主要讲的是空密码。因为Radmin默认是空密码，所以大多数人在安装Radmin后都会忽略密码安全设置。因此，任何攻击者都可以使用Radmin客户端连接到安装Radmin的机器，为所欲为。

Windows自己的远程桌面也会为黑客入侵提供方便之门，当然是在他通过一定手段获得可访问的账号之后。

可以说几乎每一种远程管理软件都有它的问题，比如本报G12第43期推出的功能强大的远程管理软件DameWare NT Utilitie。其工具包中的一些版本的DameWare Mini Remote Control也存在缓冲区溢出漏洞，黑客可以利用该漏洞在系统上执行任意指令。因此，为了安全和远程地使用它，需要IP限制。这里以Windows 2000远程桌面为例，谈谈6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打开天网的“自定义IP规则”界面，点击“添加规则”，添加一条新规则。在“分组方向”中选择“接受”，在“对端IP地址”中选择“指定地址”，然后填写你的IP地址，在TCP标签中从6129到0填写本地端口，从0到0填写对端端口，在“满足上述条件时”中选择“通过”，这样除了你指定的IP(这里假设为192.168

安装最新版本的远程控制软件也有利于提高安全性。例如，最新版本的Pcanywhere的密码文件采用了强加密方案
。第四，“专业人士”免费帮你检测。

很多安全网站都提供在线检测，可以帮助我们发现系统问题。比如天网安全在线推出的在线安全检测系统天网博士，可以检测你电脑中的一些安全隐患，根据检测结果判断你系统的等级，指导你进一步解决你系统中可能存在的安全隐患。

天网医生可以提供木马检测、系统安全检测、端口扫描检测、信息泄露检测四项安全检测项目。可能有四种结果:极度危险、中度危险、相当安全、超时或防火墙。其他知名的在线安全测试网站包括千禧在线和蓝盾在线测试。另外，IE的安全性也很重要。如果你不小心，你可能会成为恶意代码或网页木马的牺牲品。它是一个专门检测IE是否存在安全漏洞的网站。你可以按照提示操作。

第五，扫描自己。

天网医生主要是针对网络新手，而且是远程检测，没有本地快，所以如果你有一定基础，可以使用安全检测工具(漏洞扫描工具)手动检测系统漏洞。

我们知道，黑客在入侵他人系统之前，通常会使用自动化工具扫描目标机器。我们也可以借鉴这个想法，使用漏洞扫描器在另一台计算机上测试我们自己的机器。功能强大又好用的国产扫描仪首推X-Scan，当然小荣流光也很不错。

以X扫描为例。它有许多扫描选项，如开放端口，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞，SQL-SERVER等。更重要的是，除了列举系统漏洞，还给出非常详细的解决方案。我们只需要“按处方抓药”。

例如，使用X-Scan对隔壁的计算机进行全面扫描后，会发现以下漏洞:

[192.168.1.70]:端口135打开:位置服务

[192.168.1.70]:端口139已打开:网络BIOS会话服务

[192.168.1.70]:端口445已打开:微软-DS

[192.168.1.70]:发现NT-Server弱密码:user/[空 password]

[192.168.1.70]:找到“NetBios信息”

从中可以发现Windows 2000中的弱密码问题，这是一个非常严重的漏洞。NetBios信息暴露也为黑客进一步攻击提供了便利。解决方法是在天网防火墙中为用户账号设置一个复杂的密码，关闭135 ~ 139端口。

不及物动词不要低估Windows Update

微软通常会在病毒和攻击工具泛滥之前开发相应的补丁工具。只要点击“开始”菜单中的Windows Update，你就会进入微软的Windows Update网站，在那里你可以下载最新的补丁。所以每周访问一次Windows Update网站，及时更新系统，基本可以将黑客和病毒拒之门外。