高危端口

合集下载

常见高危端口

常见高危端口
SVN(开放源代码的版本控制系统)
svn泄露,未授权访问
tcp 4848
GlassFish(应用服务器)
弱口令
tcp 5000
Sybase/DB2(数据库)
爆破,注入
tcp 5432
PostgreSQL(数据库)
爆破,注入,弱口令
tcp 5900,5901,5902
VNC(虚拟网络控制台,远控)
弱口令爆破
默认密码zerbra
tcp 3128
Squid(代理缓存服务器)
弱口令
tcp 3312,3311
kangle(web服务器)
弱口令
tcp 3306
MySQLቤተ መጻሕፍቲ ባይዱ数据库)
注入,提权,爆破
tcp 3389
Windows rdp(桌面协议)
shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690
弱口令
tcp 8443
Plesk(虚拟主机管理面板)
弱口令
tcp 8069
Zabbix(系统网络监视)
远程执行,SQL注入
tcp 8080-8089
Jenkins,JBoss(应用服务器)
反序列化,控制台弱口令
tcp 9080-9081,9090
WebSphere(应用服务器)
Java反序列化/弱口令
tcp 1194
OpenVPN(虚拟专用通道)
想办法钓VPN账号,进内网
tcp 1352
Lotus(Lotus软件)
弱口令,信息泄漏,爆破
tcp 1433
SQL Server(数据库管理系统)
注入,提权,sa弱口令,爆破
tcp 1521

如何关闭操作系统危险端口

如何关闭操作系统危险端口

关闭操作系统高危端口第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”,于是弹出一个向导。

在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。

第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。

第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP 地址”,目标地址选“我的IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛选器。

重复以上步骤添加TCP1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。

第四步,在“新规则属性”对话框中,选择“新IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。

在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。

常见高危端口

常见高危端口
ISPmanager(主机控制面板)
弱口令
tcp1723
PPTP(点对点隧道协议)
爆破,想办法钓VPN账号,进内网
tcp 2082,2083
cPanel (虚拟机控制系统)
弱口令
tcp 2181
ZooKeeper(分布式系统得可靠协调系统)
未授权访问
tcp2601,2604
Zebra (zebra路由)
弱口令
tcp 8443
Plesk(虚拟主机管理面板)
弱口令
tcp8069
Zabbix(系统网络监视)
远程执行,SQL注入
tcp8080-8089
Jenkins,JBoss(应用服务器)
反序列化,控制台弱口令
tcp9080-9081,9090
WebSphere(应用服务器)
Java反序列化/弱口令
tcp 9200,9300
SVN(开放源代码得版本控制系统)
svn泄露,未授权访问
tcp 4848
GlassFish(应用服务器)
弱口令
tcp 5000
Sybase/DB2(数据库)
爆破,注入
tcp 5432
PostgreSQL(数据库)
爆破,注入,弱口令
tcp 5900,5901,5902
VNC(虚拟网络控制台,远控)
弱口令爆破
端口
服务
渗透测试
tcp 20,21
FTP(文件传输协议)
允许匿名得上传下载,爆破,嗅探,win提权,远程执行(proftpd1、3。5),各类后门(pro2。3、4)
tcp 22
SSH(安全外壳协议)
可根据已搜集到得信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

高危端口访问控制

高危端口访问控制
deny tcp any any eq 138 (安全漏洞)
deny tcp any any eq 139 (安全漏洞)
deny tcp any any eq 420 (“大选杀手” 蠕虫病毒)
deny tcp any any eq 445 (震荡波等)
deny tcp any any eq 9996 (震荡波)
deny udp any any eq 69 (冲击波)
deny udp any any eq 135 (冲击波)
deny udp any any eq 137 (安全漏洞)
deny tcp any any eq 593 (安全漏洞)
deny tcp any any eq 1022 (震荡波”变种E)
deny tcp any any eq 1023 (震荡波”变种E)
deny tcp any any eq 1025 (木马、病毒)
deny udp any any eq 9996 (震荡波)
deny tcp any any eq 23 (telnet)
deny tcp any any eq 113 (木马)
deny tcp any any eq 135 (冲击波)
deny tcp any any eq 137 (安全漏洞)
deny tcp any any eq 4444 (“仇恨者”病毒)
deny tcp any any eq 4899 (蠕虫病毒)
deny tcp any any eq 5300 (“大选杀手” 蠕虫病毒)
deny tcp any any eq 5631 (pc-anywhere)
deny tcp any any eq 5554 (震荡波)

高危端口漏洞防范措施

高危端口漏洞防范措施

高危端口漏洞防范措施
高危端口漏洞是指暴露在互联网中的常用端口存在安全漏洞,容易遭到黑客攻击的端口。

以下是防范高危端口漏洞的一些措施:
1. 及时更新和安装补丁:保持系统和应用程序的最新版本,并及时安装供应商发布的安全补丁,以修复已知漏洞。

2. 禁用或限制高危端口访问:对于不需要对外开放的端口,可以将其禁用或限制访问,只允许授权用户或特定IP地址进行访问。

3. 使用防火墙:配置防火墙,根据实际需要和业务需求,限制高危端口的访问权限,并设置入侵检测和阻断规则。

4. 使用安全认证和授权策略:为高危端口设置强密码,并使用多因素身份验证措施,确保只有授权用户能够访问。

5. 加强网络监控和日志记录:通过实时监控网络流量和记录相关日志,及时发现异常行为和攻击,并采取相应的应对措施。

6. 实施安全策略和培训:制定并实施完善的安全策略,包括应急响应计划和数据备份策略,并加强员工的安全意识培训。

7. 定期进行漏洞扫描和安全评估:定期使用漏洞扫描工具对系统进行全面扫描,并利用安全评估工具进行系统安全评估,及时发现和修复漏洞。

8. 及时更新安全设备:确保防火墙、入侵检测系统、入侵防御系统等安全设备的固件和软件及时更新,以保持其功能和漏洞库的最新状态。

9. 实施访问控制策略:限制对高危端口的访问权限,只允许必要的授权用户进行访问,并定期审查和删除不必要的访问权限。

10. 加密网络通信:对高危端口的网络通信进行加密,使用安
全协议和算法,确保数据传输的机密性和完整性。

以上措施可以大大提高系统和网络对高危端口漏洞的防范能力,减少遭到黑客攻击的风险。

Windows 终端计算机高危端口和远程协议关闭

Windows 终端计算机高危端口和远程协议关闭

终端计算机高危端口和远程协议关闭
一.关闭远程桌面控制
搜索”控制面板” 并打开
搜索“远程” ,搜索结果的“允许远程访问你的计算机”
如果“允许远程协助连接这台计算机” √是选择的需要去掉√,表示不允许开启远程协助
二.关闭高危端口
1.关闭NTP网络时间协议
搜索cmd ,以管理员身份运行打开”命令提示符”
输入关闭命令:sc config w32time start=disabled
2.简单服务发现协议(SSDP)
搜索cmd ,以管理员身份运行打开”命令提示符”
输入关闭命令:sc config SSDPSRV start=disabled
3.SMB协议(445端口)
搜索cmd ,以管理员身份运行打开”命令提示符”
输入检查命令:netstat -ano | find "445"
如果检查出终端电脑有445端口,那么需要通过以下步骤关闭445端口,否则忽略此步骤。

搜索服务,运行打开”服务”
找到“Server” 服务并选择属性
选择“禁用” 此服务启动
搜索powershell,以管理员身份运行打开”Windows PowerShell”
输入关闭命令:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 然后重启电脑。

高危端口漏洞防范措施

高危端口漏洞防范措施

高危端口漏洞防范措施在当今的数字化时代,网络安全问题已经成为企业和个人必须重视的重要议题之一。

高危端口漏洞是网络安全中的一个重要问题,攻击者可以通过利用这些漏洞来入侵系统、获取敏感信息或者造成网络崩溃。

因此,采取有效的高危端口漏洞防范措施对于保护网络安全至关重要。

首先,及时更新和升级系统是防范高危端口漏洞的重要一环。

由于高危端口漏洞通常是由已知的安全漏洞引起的,因此软件供应商通常会发布安全补丁来修复这些漏洞。

企业和个人应当密切关注供应商的安全公告,并及时安装补丁和升级系统。

此外,还可以配置自动更新功能,确保系统能够自动获取最新的安全补丁和升级。

其次,强化网络设备的安全配置是防范高危端口漏洞的重要手段之一。

网络设备如防火墙、路由器、交换机等是企业网络的重要组成部分,也是攻击者入侵的重要目标。

因此,管理员应当对这些设备进行安全配置,包括但不限于关闭不必要的服务、禁止弱密码、启用访问控制列表(ACL)等。

此外,还应当定期审计和检查设备配置,确保设备的安全性。

另外,网络入侵检测系统(IDS)和入侵防御系统(IPS)的部署是防范高危端口漏洞的重要措施之一。

IDS和IPS可以实时监测网络流量,检测和阻止异常的网络活动,及时发现并应对高危端口漏洞的攻击。

管理员应当配置IDS和IPS以适应企业的网络环境,并定期更新其规则和签名以应对新的攻击方式和高危端口漏洞。

此外,定期进行漏洞扫描和安全评估也是防范高危端口漏洞的重要措施。

漏洞扫描可以帮助发现网络中存在的安全漏洞和高危端口漏洞,而安全评估可以评估网络的安全性并提供相应的改进建议。

管理员可以利用各种漏洞扫描工具进行扫描,并根据扫描结果及时采取相应的防范措施。

最后,加强员工的网络安全意识和培训也是防范高危端口漏洞的重要一环。

员工是企业网络的最后一道防线,他们的行为和操作直接影响企业的网络安全。

因此,企业应当加强对员工的网络安全培训,教育他们如何正确使用网络、避免点击可疑链接和附件、保护密码等。

公司内部高危端口管理制度

公司内部高危端口管理制度

第一章总则第一条为加强公司网络安全管理,保障公司信息系统安全稳定运行,防止网络攻击和数据泄露,根据国家有关法律法规和公司相关规定,特制定本制度。

第二条本制度适用于公司所有信息系统、网络设备和终端设备。

第三条本制度旨在规范公司内部高危端口的使用和管理,提高网络安全防护能力。

第二章高危端口定义及分类第四条高危端口是指网络中存在安全风险,易被黑客利用进行攻击的端口。

第五条高危端口分类如下:1. 常规高危端口:如21(FTP)、22(SSH)、23(Telnet)、25(SMTP)、53(DNS)、80(HTTP)、110(POP3)、143(IMAP)、443(HTTPS)等;2. 特定高危端口:如3389(远程桌面)、135(RPC)、445(SMB)等;3. 其他高危端口:如端口扫描、拒绝服务攻击等。

第三章高危端口管理要求第六条高危端口的使用应遵循以下原则:1. 限制使用:除公司明确规定外,一般不得使用高危端口;2. 必要使用:确需使用高危端口时,应严格审批程序,并采取必要的安全防护措施;3. 监控管理:对使用高危端口的服务器、网络设备进行实时监控,确保网络安全。

第七条高危端口的使用管理要求:1. 审批程序:使用高危端口需经部门负责人批准,报公司网络安全管理部门备案;2. 防护措施:使用高危端口的服务器、网络设备应配置防火墙、入侵检测系统等安全设备,加强安全防护;3. 记录管理:使用高危端口的服务器、网络设备应记录访问日志,便于追踪和调查;4. 定期检查:网络安全管理部门定期对使用高危端口的服务器、网络设备进行检查,确保安全防护措施到位。

第四章高危端口关闭与调整第八条对于未经过批准使用的高危端口,应立即关闭;第九条对于已批准使用的高危端口,如发现存在安全隐患,应立即调整或关闭;第十条对于不再使用的高危端口,应立即关闭。

第五章监督与责任第十一条网络安全管理部门负责本制度的监督和执行;第十二条部门负责人和网络安全管理人员对本制度执行情况负有直接责任;第十三条对违反本制度的行为,公司将视情节轻重给予相应处罚。

关闭高危端口135、139、445关闭默认共享

关闭高危端口135、139、445关闭默认共享

关闭⾼危端⼝135、139、445关闭默认共享135端⼝:主要⽤于使⽤RPC(Remote Procedure Call,远程过程调⽤)协议并提供DCOM(分布式组件对象模型)服务,RPC本⾝在处理通过TCP/IP的消息交换部分有⼀个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。

“冲击波”病毒,利⽤RPC漏洞可以攻击计算机。

139端⼝:是为“NetBIOS Session Service”提供的,主要⽤于提供Windows⽂件和打印机共享以及Unix中的Samba服务。

如果不需要提供⽂件和打印机共享,可以关闭该端⼝。

445端⼝:局域⽹中轻松访问各种共享⽂件或共享打印机会⽤到445端⼝,如果不需要提供⽂件和打印机共享,可以关闭该端⼝,让⿊客⽆法破坏各种共享资源。

下⾯⽤⼀台Windows 7的虚拟机试验⼀下关闭这三个⾼危端⼝⾸先查看⼀下端⼝列表,发现三个⾼危端⼝都在1、关闭139端⼝找到⽹络设置-属性选择“选择“Internet协议4(TCP/IP)-点击属性点击“⾼级”选择“禁⽤TCP/IP 上的NetBIOS(S)”,点击确定此时查看端⼝列表,发现139端⼝不见了2、关闭135端⼝Win+r,在运⾏窗⼝输⼊dcomcnfg进⼊组件服务-根据图中所⽰,组件服务-计算机-我的电脑-默认属性-把“在此计算机上启⽤分布式COM(E)”前⾯的勾去掉然后进⼊“默认协议”,选择“⾯向连接的TCP/IP”,点击移除,然后确定此时135端⼝依然没有消失,还要进⾏下⼀步,Win+r 输⼊regedit,进⼊注册表依次进⼊HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc在Rpc⽂件夹出右键-新建(N)-项(k)输⼊ Internet 确定重启虚拟机,然后查询端⼝,发现此时135端⼝也不见了3、关闭445端⼝进⼊注册表依次进⼊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters在Parameters⽂件夹处右键-新建-项-选择QWORD(64) //32位的电脑选择QWORD(32)将新建的QWORD(64)数值数据设置为0,保存退出然后进⼊系统服务页⾯,Win+r,输⼊services.msc找到server,将server停⽌然后禁⽤,点击应⽤重启虚拟机,查询端⼝列表除了这种⽅法还可以在防⽕墙添加规则阻⽌连接,或者通过IP安全策略禁⽤端⼝关闭默认共享1、运⾏输⼊Win+R,,输⼊“regedit”,打开注册表进⼊路径:[HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]新建DWORD(32位)值:AutoShareServer设置为“0”;AutoShareWKs设置为“0”;2、进⼊路径:[HEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]将restrictanonymous设置为“1”;3、重启操作系统。

常见高危端口

常见高危端口
默认密码zerbra
tcp 3128
Squid(代理缓存服务器)
弱口令
tcp 3312,3311
kangle(web服务器)
弱口令
tcp 3306
MySQL(数据库)
注入,提权,爆破
tcp 3389
Windows rdp(桌面协议)
shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690
tcp 110
POP3(邮局协议版本3)
可尝试爆破,嗅探
tcp 111,2049
NFS(网络文件系统)
权限配置不当
tcp 137,139,445
SMB(NETBIOS协议)
可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143
IMAP(邮件访问协议)
可尝试爆破
udp 161
SNMP(简单网络管理协议)
爆破默认团队字符串,搜集目标内网信息
tcp 389
LDAP(轻量目录访问协议)
ldap注入,允许匿名访问,弱口令
tcp 512,513,514
Linux rexec(远程登录)
可爆破,rlogin登陆
tcp 873
Rsync(数据镜像备份工具)
匿名访问,文件上传
tcp 23
Telnet(远程终端协议)
爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25
SMTP(简单邮件传输协议)
邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53
DNS(域名系统)
允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控

如何关闭关闭高危端口

如何关闭关闭高危端口

关闭高危端口1.系统保留端口(从0到1023)2.动态端口(从1024到65535)当访问远程站点或者一些应用服务,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上,默认状态下,Windows会打开很多服务端口,我们查看下本机开放的端口。

Netstat -anProto(协议)Local Address(本地)Foreign Address(远程)State(状态)21端口(如果不架设FTP服务器,建议关闭 21端口。

关闭FTP Publishing Service服务)23端口(主要用于Telnet(远程登录)服务,也是TTS(Tiny Telnet Server)木马的缺省端口,结束方法:开始-设置-控制面版-管理工具-服务-Telnet-双击-服务状态-停止-启动类型:禁用;)25端口端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议),如果不是要架设SMTP邮件服务器,可以将该端口关闭。

关闭Simple Mail Transport Protocol (SMTP)服务;53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,如果当前的计算机不是用于提供域名解析服务,建议关闭该端口。

关闭方法:关闭 DNS Client服务。

123 UDP端口单击“开始→设置→控制面板”,双击“管理工具→服务”,停止Windows Time服务即可。

关闭UDP 123端口,可以防范某些蠕虫病毒。

建议:禁用;135端口135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC 可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码关闭方法:1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM 键值修改为“N”2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rpc\DCOMProtoco ls删除“ncacn_ip_tcp”3.开始-设置-控制面版-管理工具-服务-禁用 Distributed Transaction Coordinator 服务;137; 138端口UDP端口,当通过网上邻居传输文件时用这个端口,因为是UDP 端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。

高危端口安全评估报告

高危端口安全评估报告

高危端口安全评估报告根据高危端口安全评估报告,以下是一些可能存在安全风险的高危端口及其评估结果:1. 端口:22 (SSH)评估结果:存在风险风险描述:SSH端口是常用的远程登录协议端口,黑客可能利用该端口进行暴力破解攻击或执行远程命令注入攻击。

建议采取安全措施,如限制访问IP、使用强密码等。

2. 端口:23 (Telnet)评估结果:存在风险风险描述:Telnet是不加密的远程登录协议,黑客可能通过监听网络流量来获取登录凭证。

建议使用更加安全的协议,如SSH,并关闭Telnet服务以防止潜在攻击。

3. 端口:80 (HTTP)评估结果:存在风险风险描述:HTTP端口是Web服务的标准端口,黑客可能利用该端口进行注入攻击、跨站脚本攻击、缓冲区溢出等常见的Web漏洞攻击。

建议采取安全措施,如使用Web应用防火墙、及时修补漏洞等。

4. 端口:443 (HTTPS)评估结果:存在潜在风险风险描述:HTTPS端口是加密的Web服务端口,但仍有可能受到中间人攻击、证书伪造等攻击。

建议采取安全措施,如使用有效的SSL证书、强密码、及时更新加密算法等。

5. 端口:445 (SMB)评估结果:存在风险风险描述:SMB(Server Message Block)是Windows系统中共享文件和打印机的协议,黑客可能通过该端口执行远程命令、传播恶意软件等攻击。

建议关闭不使用的SMB服务、限制访问权限、及时升级补丁等。

以上是一些可能存在安全风险的高危端口及其评估结果,建议根据实际情况采取相应的安全措施来保护系统和数据的安全。

windows高危端口梳理

windows高危端口梳理

windows⾼危端⼝梳理梳理windows的⾼危端⼝,包括:135、137、138135端⼝ —— TCPIEen⼯具利⽤135端⼝实施攻击的过程:利⽤DCOM技术。

DCOM技术与对⽅计算机进⾏通信时,会⾃动调⽤⽬标主机的RPC服务,RPC服务将⾃动询问⽬标主机种的135端⼝,当前有哪些端⼝可以⽤来通信,⽬标主机会提供⼀个可⽤的服务端⼝作为数据传输通道使⽤。

也就是说,在这个通信过程中,135端⼝就是RPC通信中的桥梁,为RPC通信提供服务端⼝映射功能。

137端⼝ —— UDPUDP端⼝。

137端⼝的主要作⽤是在局域⽹中提供计算机的名字或IP地址查询服务,⼀般安装了NetBIOS协议后,该端⼝会⾃动处于开放状态。

如果攻击者知道⽬标主机的IP地址,并向该地址的137端⼝发送⼀个连接请求时,就可能获得⽬标主机的相关名称信息,⽐如计算机名称、注册该⽬标主机的⽤户信息、⽬标主机本次开机、关机时间等。

还可以知道⽬标主机是否作为⽂件服务器或主域控制器来使⽤。

138端⼝ —— UDP137、138属于UDP端⼝,在局域⽹中相互传输⽂件信息时起作⽤。

138端⼝主要作⽤是提供NetBIOS环境下的计算机名浏览功能。

攻击者通过与⽬标主机的138端⼝建⽴连接请求,可获得⽬标主机所处的局域⽹⽹络名称以及⽬标主机的计算机名称,通过该名称可进⼀步获取相应的IP地址。

139端⼝ —— TCP139端⼝主要作⽤是通过⽹上邻居访问局域⽹中的共享⽂件或共享打印机。

攻击者如果与⽬标主机的139端⼝建⽴连接的话,很有可能浏览到指定⽹段内所有⼯作站中的全部共享信息,甚⾄可对⽬标主机中的共享⽂件夹进⾏编辑、删除操作,如果攻击者还指导⽬标主机的IP地址和登录账号的话,能轻松查看⽬标主机中的隐藏共享信息。

445端⼝ —— TCP与139端⼝⼀样的作⽤,⽤于提供局域⽹⽂件或打印机共享服务。

区别是:139端⼝基于SMB协议(服务器协议族),445端⼝基于CIFS协议(通⽤英特⽹⽂件系统协议)。

常见的安全漏洞的定义以及可能造成的危害

常见的安全漏洞的定义以及可能造成的危害

示例:
Google的web应用,对于写操作都有一个anti-CSRF token。如下图是某操作的前台页面源码,里面通过一个隐藏的input框来记录一个token GALX,当用户点击提交的时候就会通过POST方式自动带上这个参数。
CSRF.jpg
与此同时,该页面的cookie值里面有GALX一个值,当用户点击提交的时候这个cookie的值也会随着请求到达后台。
英文原文:Cross Site Request Forgery
定义:
/wiki/Cross-site_request_forgery
/index.php/Cross-Site_Request_Forgery_%28CSRF%29
可造成危害:
可实现在应用中多次获奖、多次收获、多次获赠等非正常逻辑所能触发的效果。
1.7 高危端口漏洞
高危端口是指存在高安全隐患的端口,主要包括:
TCP端口(1-1024),
UDP端口( 1-1024),
MySQL端口(3306),
SQL Server端口(1433、1434),
建议:删除默认文件
示例:
比如某大型网站曾经存在过如下漏洞,把一个系统默认的说明文件放到web的根目录,导致外网用户可以访问。
xlhtmrwjld.jpg
3.6 泄漏员工电子邮箱漏洞以及分机号码
漏洞等级:低
安全隐患:泄漏员工内部电子邮箱以及分机号码相当于泄漏了员工内部ID,可以为黑客进行社会工程学攻击提供有价值的材料,同时也为黑客暴力破解后台服务提供重要的帐号信息。
/index.php/Cross-site_Scripting_%28XSS%29

高危端口漏洞防范措施

高危端口漏洞防范措施

高危端口漏洞防范措施
高危端口漏洞防范措施主要包括以下几点:
1. 关闭不必要的服务:对于企业而言,尽量关闭不需要的公共服务,以减少攻击面。

例如,3306(MySQL)、3389(远程桌面)、27017(Mon goDB)等高危端口,如果不需要,建议关闭。

2. 设置强密码:对于必须开放的高危端口,确保使用强密码,避免使用容易被猜测或破解的弱口令。

同时,定期更换密码,提高安全性。

3. 开启防火墙:配置防火墙规则,限制外部访问高危端口。

只允许内部业务需求所需的访问,拒绝其他无关访问。

4. 安装并更新杀毒软件:确保服务器安装有杀毒软件,并保持实时更新。

及时检测和清除潜在的恶意软件,降低感染风险。

5. 加强内部安全教育:提高员工的安全意识,教育员工遵循安全操作规程。

避免因操作不当导致的安全漏洞。

6. 定期进行安全检查:定期使用安全扫描工具(如nmap)对服务器进行安全检查,发现潜在漏洞并及时修复。

7. 采用安全协议:在网络通信中,采用安全协议(如SSL/TLS)加密数据传输,提高通信安全性。

8. 设置访问权限:对于高危端口,设置合适的访问权限,限制特定用户组的访问。

避免未授权用户接触到敏感数据。

9. 定期备份:定期对重要数据进行备份,以防数据丢失或损坏。

同时,确保备份数据的存储安全。

10. 实时监控:部署实时监控系统,对服务器日志进行分析和报警。

及时发现异常行为,快速响应和处理安全事件。

通过以上措施,可以有效降低高危端口漏洞带来的安全风险。

高危端口漏洞防范措施

高危端口漏洞防范措施

高危端口(135,139,445)漏洞防范措施1)操作系统口令设置为大小写字母、数字、特殊字符的组合,不要简单地设置为数字或单词。

另外,如果不需要,关闭系统的guest账户。

135、139端口攻击即通过猜测系统密码后获取系统控制权,发动入侵。

过于简单的口令病毒程序很容易破解。

2)做好系统备份和数据备份,防止病毒感染造成系统损坏和数据丢失。

3)对于不需要使用高危端口135,139,445的计算机,通过组策略添加出、入站拦截规则。

入站拦截是防止外部攻击,出站拦截防止本地感染病毒后攻击其他计算机。

添加策略的具体操作步骤:A)命令行输入gpedit.msc打开组策略编辑器。

如图1所示,依次展开到“ip安全策略”,右键“创建IP安全策略”,一直点击下一步,出现如图2对话框。

图1B)如图2左侧对话框,去掉勾选,点击“添加”出现右侧对话框,选择标签“IP筛选器列表”,点击添加,弹出图3对话框。

图2C)如图3,“地址”标签页下选择源地址和目标地址规则。

入站拦截,请选择源地址为“任何IP地址”,目标地址为“我的IP地址”。

出站拦截正好相反。

如何同时配置出站和入站拦截,均选择“任何IP地址”。

图3D)切换到“协议”标签页,如图4,选择“TCP”协议,输入要拦截的端口。

确认退出,如图5所示,多出一条规则。

图4图5E)如要添加其他拦截,重复步骤B-D。

完成后图5点击确认,返回图2右侧对话框。

F)如图6左侧对话框,选择标签页“筛选器操作”,右侧对话框选择“阻止”,确认关闭。

图6G)如图7,选中后应用,关闭对话框,返回图2左侧对话框。

图7H)如图8,选中刚刚添加的规则,确认关闭对话框。

图8I)如图9,右键“分配”是规则生效。

不必重启计算机。

图94)如果允许,安装防病毒软件,建议火绒安全,并定期更新病毒库。

如果不能联网,可在检修日下载最新版的杀毒软件重新安装。

安装火绒后可通过它设置规则。

5)建议各区域对同一网段的电脑再扫描一次漏洞。

常见高危端口

常见高危端口
Zebra(zebra路由)
默认密码zerbra
tcp 3128
Squid(代理缓存服务器)
弱口令
tcp 3312,3311
kangle(web服务器)
弱口令
tcp 3306
MySQL(数据库)
注入,提权,爆破
tcp 3389
Windows rdp(桌面协议)
shift后门[需要03以下的系统],爆破,ms12-020
弱口令爆破
tcp 5984
CouchDB(数据库)
未授权导致的任意指令执行
tcp 6379
Redis(数据库)
可尝试未授权访问,弱口令爆破
tcp 7001,7002
WebLogic(WEB应用系统)
Java反序列化,弱口令
tcp 7778
Kloxo(虚拟主机管理系统)
主机面板登录
tcp 8000
Ajenti(Linux服务器管理面板)
弱口令
tcp 8443
Plesk(虚拟主机管理面板)
弱口令
tcp 8069
Zabbix(系统网络监视)
远程执行,SQL注入Hale Waihona Puke tcp 8080-8089
Jenkins,JBoss(应用服务器)
反序列化,控制台弱口令
tcp 9080-9081,9090
WebSphere(应用服务器)
Java反序列化/弱口令
端口
服务
渗透测试
tcp 20,21
FTP(文件传输协议)
允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22

常见高危端口

常见高危端口

常见⾼危端⼝端⼝服务渗透测试tcp 20,21FTP(⽂件传输协议)允许匿名的上传下载,爆破,嗅探,win提权,远程执⾏(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) tcp 22SSH (安全外壳协议)可根据已搜集到的信息尝试爆破,v1版本可中间⼈,ssh隧道及内⽹代理转发,⽂件传输等等tcp 23Telnet (远程终端协议)爆破,嗅探,⼀般常⽤于路由,交换登陆,可尝试弱⼝令tcp 25SMTP(简单邮件传输协议)邮件伪造,vrfy/expn查询邮件⽤户信息,可使⽤smtp-user-enum⼯具来⾃动跑tcp/udp 53DNS(域名系统)允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控tcp/udp 69TFTP (简单⽂件传送协议)尝试下载⽬标及其的各类重要配置⽂件tcp 80-89,443,8440-8450,8080-8089各种常⽤的Web服务端⼝可尝试经典的topn,vpn,owa,webmail,⽬标oa,各类Java控制台,各类服务器Web管理⾯板,各类Web中间件漏洞利⽤,各类Web框架漏洞利⽤等等……tcp 110POP3(邮局协议版本3 )可尝试爆破,嗅探tcp 111,2049NFS(⽹络⽂件系统)权限配置不当tcp 137,139,445SMB(NETBIOS协议)可尝试爆破以及smb⾃⾝的各种远程执⾏类漏洞利⽤,如,ms08-067,ms17-010,嗅探等……tcp 143IMAP(邮件访问协议)可尝试爆破udp 161SNMP(简单⽹络管理协议)爆破默认团队字符串,搜集⽬标内⽹信息tcp 389LDAP(轻量⽬录访问协议)ldap注⼊,允许匿名访问,弱⼝令tcp 512,513,514Linux rexec (远程登录)可爆破,rlogin登陆tcp 873Rsync (数据镜像备份⼯具)匿名访问,⽂件上传tcp 1194OpenVPN(虚拟专⽤通道)想办法钓VPN账号,进内⽹tcp 1352Lotus(Lotus软件)弱⼝令,信息泄漏,爆破tcp 1433SQL Server(数据库管理系统)注⼊,提权,sa弱⼝令,爆破tcp 1521Oracle(甲⾻⽂数据库)tns爆破,注⼊,弹shell…tcp 1500ISPmanager(主机控制⾯板)弱⼝令tcp 1723PPTP(点对点隧道协议)爆破,想办法钓VPN账号,进内⽹tcp 2082,2083cPanel (虚拟机控制系统)弱⼝令tcp 2181ZooKeeper(分布式系统的可靠协调系统)未授权访问tcp 2601,2604Zebra (zebra路由)默认密码zerbratcp 3128Squid (代理缓存服务器)弱⼝令tcp 3312,3311kangle(web服务器)弱⼝令tcp 3306MySQL(数据库)注⼊,提权,爆破tcp 3389Windows rdp(桌⾯协议)shift后门[需要03以下的系统],爆破,ms12-020tcp 3690SVN(开放源代码的版本控制系统)svn泄露,未授权访问tcp 4848GlassFish(应⽤服务器)弱⼝令tcp 5000Sybase/DB2(数据库)爆破,注⼊tcp 5432PostgreSQL(数据库)爆破,注⼊,弱⼝令tcp 5900,5901,5902VNC(虚拟⽹络控制台,远控)弱⼝令爆破tcp 5984CouchDB(数据库)未授权导致的任意指令执⾏tcp 6379Redis(数据库)可尝试未授权访问,弱⼝令爆破tcp 7001,7002WebLogic(WEB应⽤系统)Java反序列化,弱⼝令tcp 7778Kloxo(虚拟主机管理系统)主机⾯板登录tcp 8000Ajenti(Linux服务器管理⾯板)弱⼝令tcp 8443Plesk(虚拟主机管理⾯板)弱⼝令tcp 8069Zabbix (系统⽹络监视)远程执⾏,SQL注⼊tcp 8080-8089Jenkins,JBoss (应⽤服务器)反序列化,控制台弱⼝令tcp 9080-9081,9090WebSphere(应⽤服务器)Java反序列化/弱⼝令tcp 9200,9300ElasticSearch (Lucene的搜索服务器)远程执⾏tcp 11211Memcached(缓存系统)未授权访问tcp 27017,27018MongoDB(数据库)爆破,未授权访问TCP 50000tcp 50070,50030SAP Managenment ConsoleHadoop(分布式⽂件系统)远程执⾏默认端⼝未授权访问SSH 是协议,通常使⽤ OpenSSH 软件实现协议应⽤。

哪些端口容易被攻击

哪些端口容易被攻击

哪些端口是常被黑客、病毒入侵的?最容易被入侵端口有:135、139、445、3389445端口端口说明:用来传输文件和NET远程管理端口漏洞:黑客喜欢扫描扫描的漏洞,也是震荡病毒扫描的.关闭445端口的方法有很多,但是我比较推荐以下这种方法:修改注册表,添加一个键值Hive: HKEY_LOCAL_MACHINEKey: System\CurrentControlSet\Services\NetBT\ParametersName: SMBDeviceEnabledType: REG_DWORDvalue:554端口端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real 服务器发布的,包括有.rm、.ram。

如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等等。

端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。

操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。

1024端口端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。

之前,我们曾经提到过动态端口的范围是从1024~65535,而1024正是动态端口的开始。

该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。

端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最攻击,建议关闭该端口。
*137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。
*139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在 “NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。
端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。
操作建议:建议关闭该端口。
443端口:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。
端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。
端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。
操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。
*161端口:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。
执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
*143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
*135端口:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地
相关文档
最新文档