云服务器免费试用

ldap漏洞版本(ldap暴力破解)

服务器知识 0 759

本文目录:

  • 1、关于windows系统的安全与维护的一些问题~~
  • 2、电脑服务和端口问题,谢谢!
  • 3、log4j2漏洞CVE44228官方修复方案
  • 4、知道别人的端口,如何看出端口有什么漏洞。

关于windows系统的安全与维护的一些问题~~

1、启动时的故障,看事件查看器。

2、系统进程包括

(1)[system Idle Process]

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描 述: Windows页面内存管理进程,拥有0级优先。

介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。

(2)[alg.exe]

进程文件: alg or alg.exe

进程名称: 应用层网关服务

描 述: 这是一个应用层网关服务用于网络共享。

介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。

(3)[csrss.exe]

进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描 述: 客户端服务子系统,用以控制Windows图形相关子系统。

介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。

(4)[ddhelp.exe]

进程文件: ddhelp or ddhelp.exe

进程名称: DirectDraw Helper

描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

简 介:Directx 帮助程序

(5)[dllhost.exe]

进程文件: dllhost or dllhost.exe

进程名称: DCOM DLL Host进程

描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

(6)[explorer.exe]

进程文件: explorer or explorer.exe

进程名称: 程序管理

描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。

介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。

(7)[inetinfo.exe]

进程文件: inetinfo or inetinfo.exe

进程名称: IIS Admin Service Helper

描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。

介 绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

(8)[internat.exe]

进程文件: internat or internat.exe

进程名称: Input Locales

描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。

介 绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。

(9)[kernel32.dll]

进程文件: kernel32 or kernel32.dll

进程名称: Windows壳进程

描 述: Windows壳进程用于管理多线程、内存和资源。

介 绍:更多内容浏览非法操作与Kernel32解读

(10)[lsass.exe]

进程文件: lsass or lsass.exe

进程名称: 本地安全权限服务

描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。

(11)[mdm.exe]

进程文件: mdm or mdm.exe

进程名称: Machine Debug Manager

描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。

介 绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可以任意删除而不会对系统产生不良影响。对9X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。

(12)[mmtask.tsk]

进程文件: mmtask or mmtask.tsk

进程名称: 多媒体支持进程

描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。

介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。

(13)[mprexe.exe]

进程文件: mprexe or mprexe.exe

进程名称: Windows路由进程

描 述: Windows路由进程包括向适当的网络部分发出网络请求。

介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。

(14)[msgsrv32.exe]

进程文件: msgsrv32 or msgsrv32.exe

进程名称: Windows信使服务

描 述: Windows信使服务调用Windows驱动和程序管理在启动。

介 绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。

(15)[mstask.exe]

进程文件: mstask or mstask.exe

进程名称: Windows计划任务

描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

介 绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。

(16)[regsvc.exe]

进程文件: regsvc or regsvc.exe

进程名称: 远程注册表服务

描 述: 远程注册表服务用于访问在远程计算机的注册表。

(17)[rpcss.exe]

进程文件: rpcss or rpcss.exe

进程名称: RPC Portmapper

描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。

介 绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值",定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。

(18)[services.exe]

进程文件: services or services.exe

进程名称: Windows Service Controller

描 述: 管理Windows服务。

介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\system32\service.exe

(19)[smss.exe]

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。

简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。

(20)[snmp.exe]

进程文件: snmp or snmp.exe

进程名称: Microsoft SNMP Agent

描 述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。

简 介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。

(21)[spool32.exe]

进程文件: spool32 or spool32.exe

进程名称: Printer Spooler

描 述: Windows打印任务控制程序,用以打印机就绪。

(22)[spoolsv.exe]

进程文件: spoolsv or spoolsv.exe

进程名称: Printer Spooler Service

描 述: Windows打印任务控制程序,用以打印机就绪。

介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

(23)[stisvc.exe]

进程文件: stisvc or stisvc.exe

进程名称: Still Image Service

描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

(24)[svchost.exe]

进程文件: svchost or svchost.exe

进程名称: Service Host Process

描 述: Service Host Process是一个标准的动态连接库主机处理服务.

介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。

(25)[taskmon.exe]

进程文件: taskmon or taskmon.exe

进程名称: Windows Task Optimizer

描 述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。

介 绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。

(26)[tcpsvcs.exe]

进程文件: tcpsvcs or tcpsvcs.exe

进程名称: TCP/IP Services

描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

(27)[winlogon.exe]

进程文件: winlogon or winlogon.exe

进程名称: Windows Logon Process

描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。

(28)[winmgmt.exe]

进程文件: winmgmt or winmgmt.exe

进程名称: Windows Management Service

描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。

简 介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe(CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存储所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行,而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2来修正。

(29)[system]

进程文件: system or system

进程名称: Windows System Process

描 述: Microsoft Windows系统进程。

介 绍:在任务管理器中会看到这项进程,属于正常系统进程。

系统进程就介绍到这里。

在Windows2k/XP中,以下进程是必须加载的:

smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;

在Windows 9x中,一下进程是必须加载的:

msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

3、在优化大师里看到不清楚的程序时,查看他的路径,如果是在program files目录下,可能是安装的程序。如果是在系统目录下,并且将自己设置成自动启动时,很可能是病毒或者木马,在google里搜一下这个进程名即可。

4、基本维护技巧最重要的是备份你的数据,其他都是不重要的,只有你自己的数据最重要。

5、

一是杀毒

二是做系统还原,最方便的系统还原方法就是ghost

电脑服务和端口问题,谢谢!

端口分为3大类

1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常 这些端口的通讯明确表明了某种服 务的协议。例如:80端口实际上总是h++p通讯。

2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服 务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如: 许多系统处理动态端口从1024左右开始。

3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。 理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也 有例外:SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。

记住:并不存在所谓 ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。

0 通常用于分析* 作系统。这一方*能够工作是因为在一些系统中“0”是无效端口,当你试 图使用一 种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。

1 tcpmux这显示有人在寻找SGIIrix机 器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris 机器在发布时含有几个缺省的无密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,

和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索 tcpmux 并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信 息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另 一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见 Chargen) 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做 Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路 由。Harvest/squid cache将从3130端口发送UDPecho:“如果将cache的 source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动 了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或 帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将 会在收到UDP包后回应含有垃圾字符的包。TCP连

接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS 攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限 的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标 地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过 载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方*。这些服务器 带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱 点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端 口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。 它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不 是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 (十六进 制的0x1600)位交换后是0x0016(使进制的22)。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是 为了找到机器运行的*作系统。此外使用其它技术,入侵者会找到密码。

25 smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总 被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的 地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方*之一,因为它们必须 完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

53 DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏 其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为 UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker 常使用这种方*穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看 见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个 地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中 间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器 向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发 送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载 启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用 于向系统写入文件

79 finger Hacker用于获得用户信息,查询*作系统,探测已知的缓冲区溢出错误, 回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的h++p服务器在98端 口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot,信任 局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。 此外 因为它包含整合的服务器,许多典型的h++p漏洞可

能存在(缓冲区溢出,历遍目录等)109 POP2并不象POP3那样有名,但许多服务器同 时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用 户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进 入系统)。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是 扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提 供 服务的特定端口测试漏洞。记住一定要记录线路中的

daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生 了什么。

113 Ident auth .这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用 标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服 务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过 防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个 端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在 TCP连接的阻断过程中发回T,着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议,承载USENET通讯。当你链接到诸 如:news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接 企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新 闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务 器,匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服务利用 机器上的end-point mapper注册它们的位置。远

端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描 机器的这个端口是为了找到诸如:这个机器上运 行Exchange Server吗?是什么版 本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些 DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息,请仔 细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing

通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件 和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大 量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过 程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端 口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允 许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于IMAP2,但并不流行。 已有一些报道发现有些0到143端口的攻击源 于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息 都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于 Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们 可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常 会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网 内广播(cable modem, DSL)查询sysName和其它信

息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口 的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利 用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩 子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端 口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端 口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap 查询),只是Linux默认为635端口,就象NFS通常运行于2049

1024 许多人问这个 端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它 们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。 这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一 点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看 到Telnet被分配1024端口。请求的程序越多,动态端口也越多。*作系统分配的端口 将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个 新端口。 ?ersion 0.4.1, June 20, 2000 h++p:// pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham

(mailto:firewall-seen1@robertgraham.com.

All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must

contain this copyright notice and must not be altered, except by

permission of the author.

1025 参见1024

1026参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP 地址访问Internet。理论上它应该只

允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker 的位于防火墙外部的攻

击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接 攻击。

WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊 天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些 针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如 果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你 可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到 600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于 哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开 portmapper直接测试这个端口。

3128 squid 这是Squid h++p代理服务器的默认端口。攻击者扫描这个端口是为了搜 寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:

000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户 (或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开 pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是 proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的 源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。 因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译 者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)

6970 RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070 端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许 用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它 会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个 拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同 的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。

Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会 导致adbots持续在每秒内试图连接多次而导致连接过载:

机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;

216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不 知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:* 语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端 口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。 现在它的流行越来越少,其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 (RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何 31789端口到317890端口的连 接意味着已经有这种入侵。(31789端口是控制连 接,317890端口是文件传输连接)

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本 的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭 仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找 portmapper,就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围 之内)则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。 参见

h++p://

h++p://端口1~1024是保留端 口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。 常看见 紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序 的“动态端口”。 Server Client 服务描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连 接。

123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送 到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其 服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器

端口大全(中文)

1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器

2 compressnet Management Utility compressnet 管理实用程序

3 compressnet Compression Process 压缩进程

5 rje Remote Job Entry 远程作业登录

7 echo Echo 回显

9 discard Discard 丢弃

11 systat Active Users 在线用户

13 daytime Daytime 时间

17 qotd Quote of the Day 每日引用

18 msp Message Send Protocol 消息发送协议

19 chargen Character Generator 字符发生器

20 ftp-data File Transfer [Default Data] 文件传输协议(默认数据口)

21 ftp File Transfer [Control] 文件传输协议(控制)

22 ssh SSH Remote Login Protocol SSH远程登录协议

23 telnet Telnet 终端仿真协议

24 ? any private mail system 预留给个人用邮件系统

25 smtp Simple Mail Transfer 简单邮件发送协议

27 nsw-fe NSW User System FE NSW 用户系统现场工程师

29 msg-icp MSG ICP MSG ICP

31 msg-auth MSG Authentication MSG验证

33 dsp Display Support Protocol 显示支持协议

35 ? any private printer server 预留给个人打印机服务

37 time Time 时间

38 rap Route Access Protocol 路由访问协议

39 rlp Resource Location Protocol 资源定位协议

41 graphics Graphics 图形

42 nameserver WINS Host Name Server WINS 主机名服务

43 nicname Who Is "绰号" who is服务

44 mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议

45 mpm Message Processing Module [recv] 消息处理模块

46 mpm-snd MPM [default send] 消息处理模块(默认发送口)

47 ni-ftp NI FTP

log4j2漏洞CVE44228官方修复方案

apache官网发布了log4j2的漏洞修复方案,大致是这么说的

log4j团队注意到了安全漏洞CVE-2021-44228,这个问题已经在 Log4j 2.15.0版本里修复了。

Log4j’s JNDI支持没有限定哪个名字可以被用,一些协议是非安全的,可能会被允许远程代码执行。log4j现在限制了只有java、ldap和ladps可以使用此协议,并且限制了ldap协议只能在本地访问java的私有对象。

由于log4j允许在日志消息里查找,这个场景可能会导致漏洞爆出。在log4j 2.15.0里这个特性被默认禁用了。尽管提供了启动查找的方式,用户依然强烈反对启用它。

对于无法升级到2.15.0的,并且版本=2.10的,这个漏洞可以通过设置jvm参数 log4j2.formatMsgNoLookups 或者环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS 为true的方法去减轻问题。对于 2.0-beta9 to 2.10.0,可以通过移除 JndiLookup 类的方式减轻,命令为:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class。

以下为英文全文

The Log4j team has been made aware of a security vulnerability, CVE-2021-44228, that has been addressed in Log4j 2.15.0.

Log4j’s JNDI support has not restricted what names could be resolved. Some protocols are unsafe or can allow remote code execution. Log4j now limits the protocols by default to only java, ldap, and ldaps and limits the ldap protocols to only accessing Java primitive objects by default served on the local host.

One vector that allowed exposure to this vulnerability was Log4j’s allowance of Lookups to appear in log messages. As of Log4j 2.15.0 this feature is now disabled by default. While an option has been provided to enable Lookups in this fashion, users are strongly discouraged from enabling it.

For those who cannot upgrade to 2.15.0, in releases =2.10, this vulnerability can be mitigated by setting either the system property log4j2.formatMsgNoLookups or the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true . For releases from 2.0-beta9 to 2.10.0, the mitigation is to remove the JndiLookup class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class .

链接地址:

知道别人的端口,如何看出端口有什么漏洞。

常被黑客利用端口

一些端口常常会被黑客利用,还会被一些木马病毒利用,对计算机系统进行攻击,以下是计算机端口的介绍以及防止被黑客攻击的简要办法。

8080端口

端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080”端口号,比如。

端口漏洞:8080端口可以被各种病毒程序所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该端口进行攻击。

操作建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。

端口:21

服务:FTP

说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开 anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口:22

服务:Ssh

说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。

端口:23

服务:Telnet

说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口:25

服务:SMTP

说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的 SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口:80

服务:HTTP

说明:用于网页浏览。木马Executor开放此端口。

端口:102

服务:Message transfer agent(MTA)-X.400 over TCP/IP

说明:消息传输代理。

端口:110

服务:Post Office Protocol -Version3

说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口:111

服务:SUN公司的RPC服务所有端口

说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、 rpc.csmd、rpc.ttybd、amd等

端口:119

服务:Network News Transfer Protocol

说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找 USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。

端口:135

服务:Location Service

说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。

端口:137、138、139

服务:NETBIOS Name Service

说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口:161

服务:SNMP

说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络

端口:177

服务:X Display Manager Control Protocol

说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。

端口:389

服务:LDAP、ILS

说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

限制端口防非法入侵[分享]

一般来说,我们采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,本文拟用一种简易的办法——通过限制端口来帮助大家防止非法入侵。

非法入侵的方式

简单说来,非法入侵的方式可粗略分为4种:

1、扫描端口,通过已知的系统Bug攻入主机。

2、种植木马,利用木马开辟的后门进入主机。

3、采用数据溢出的手段,迫使主机提供后门进入主机。

4、利用某些软件设计的漏洞,直接或间接控制主机。

非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。

对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。

这里,对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下:

1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择 “我的连接”图标),弹出“本地连接状态”对话框。

2、点击[属性]按钮,弹出“本地连接 属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。

3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的 “高级TCP/IP 设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。

4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边 “TCP端口”上的“只允许”选上。

这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。

添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。

最后,提醒个人用户,如果您只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在 “TCP /IP“里把此端口打开。

【ldap漏洞版本】的内容来源于互联网,如引用不当,请联系我们修改。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942@qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: ldap漏洞版本(ldap暴力破解)
本文地址: https://solustack.com/22200.html

相关推荐:

网友留言:

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。