关闭高风险的端口 防止木马入侵

2024年5月1日发(作者：)

关闭高风险的端口 防止木马入侵

关闭高风险的端口 防止木马入侵

文章转自：陪你醉生梦死

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是

21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端

口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“

服务”中来配置。

1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character

Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web

Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。

3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨

网传送电子邮件。

4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务

的管理单元提供 FTP 连接和管理。

5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台

程序。

6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管

道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$

等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注

意的是运行samba的unix机器也开放了 139端口，功能一样。以前流光2000用来判断对方

主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法

是在“网络和拨号连接”中“本地连接”中选取“Internet协

议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS 设置”

里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用

户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启

动，端口也开放了。

113端口木马的清除（仅适用于windows系统）：

这是一个基于irc聊天室控制的木马程序。

1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

2.使用fport命令察看出是哪个程序在监听113端口

fport工具下载

例如我

们用fport看到如下结果：

Pid Process Port Proto Path

392 svchost -> 113 TCP C:

我们就可以确定在监听在113端口的木马程序是而该程序所在的路径为

c:winntsystem32下。

3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，

并使用管理器结束该进程。

4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，

并将相关的键值全部删掉。

5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如

、、、等，根据

木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与

监听113端口的木马程序有关的其他程序）

6.重新启动机器。

3389端口的关闭：

首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先

确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

win2000关闭的方法：

win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，

选中属性选项将启动类型改成手动，并停止该服务。

win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services

服务项，选中属性选项将启动类型改成手动，并停止该服务。

winxp关闭的方法：

在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：

首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不

能

算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该

服务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：

请在开始-->运行中输入cmd(98以下为command),然后cd C:winntsystem32(你的系统

安装目录），输入r_ /stop后按回车。

然后在输入r_server /uninstall /silence

到C:winntsystem32(系统目录）下删除r_ 三个文件

5800，5900端口：

1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是

c:)

2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以

重新运行c:)

3.删除C:winntfonts中的程序。

4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中

的Explorer项。

5.重新启动机器。

6129端口的关闭：

首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不

是

一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该务

是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：

选择开始-->设置-->控制面板-->管理工具-->服务