【网管员之路】工程布线详解    单网卡也来玩共享 HomeShare

【家庭网络】宽带路由器智者之选    深入剖析域和工作组的区别

【编辑本周推荐】宽带路由TL-R4000    【论坛话题】小型局域网搭建实例

    【IT168 专稿】经常上网的朋友一定会听说过“端口”这个名词，可这端口到底是个什么意思呢，编者就将在这篇文章里面为大家介绍端口的概念和如何通过关闭一些端口来防范常见的网络木马病毒。

    端口的概念

    在OSI模型的传输层，有两个协议：一个是我们常听说的TCP协议，而另一个就是UDP协议。端口就出现在这一层，TCP和UDP都用端口号与上层进行传送信息。在互联网上，很多木马程序都是通过某个端口服务来进行攻击。下面我们就为大家介绍一些常见的木马程序攻击的端口及如何清除这些程序：

    113 端口木马的清除（仅适用于windows 系统）：这是一个基于irc 聊天室控制的木马程序。

    1.首先使用netstat -an 命令确定自己的系统上是否开放了113 端口

    2.使用fport 命令察看出是哪个程序在监听113 端口。例如我们用fport 看到如下结果：

    Pid Process Port Proto Path
    392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

    我们就可以确定在监听在113 端口的木马程序是vhos.exe 而该程序所在的路径为c:\winnt\system32 下。

    3.确定了木马程序名（就是监听113 端口的程序）后，在任务管理器中查找到该进程，
并使用管理器结束该进程。

    4.在开始-运行中键入regedit 运行注册表管理程序，在注册表里查找刚才找到那个程序，
并将相关的键值全部删掉。

    5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt 等，根据
木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与
监听113 端口的木马程序有关的其他程序）

   6.重新启动机器。

    3389 端口的关闭：

    首先说明3389 端口是windows 的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

    win2000 关闭的方法：

    win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services 服务项，选中属性选项将启动类型改成手动，并停止该服务。

    win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

    winxp 关闭的方法：

    在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

    4899 端口的关闭：首先说明4899 端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

    关闭4899 端口：

    请在开始-->运行中输入cmd(98 以下为command),然后cd C:\winnt\system32(你的系统
安装目录），输入r_server.exe /stop 后按回车。

    然后在输入r_server /uninstall /silence到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll 三个文件。

    5800、5900端口：

    1.首先使用fport 命令确定出监听在5800 和5900 端口的程序所在位置（通常会是
c:\winnt\fonts\explorer.exe)

    2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可
以重新运行c:\winnt\explorer.exe)

    3.删除C:\winnt\fonts\中的explorer.exe 程序。

    4.删除注册HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中的Explorer 项。

    5.重新启动机器。

    6129 端口的关闭：

    首先说明6129 端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。

    关闭6129 端口：

    选择开始-->设置-->控制面板-->管理工具-->服务找到DameWare Mini Remote Control 项点击右键选择属性选项，将启动类型改成禁用后停止该服务。到c:\winnt\system32(系统目录）下将DWRCS.EXE 程序删除。到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS 表项删除。

    1029 端口和20168 端口：

    这两个端口是lovgate 蠕虫所开放的后门端口。我们可以下载专杀工具清除：FixLGate.exe。使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。