黑客攻击漏洞最可靠的解决方案（黑客如何发现漏洞）

如何应对黑客攻击提高网站安全性

当人们听到“黑客”一词，就感觉到了毛骨悚然，不过网站遭遇黑客的攻击，这在当今社会几乎是很常见的事情了，目前互联网上的网站总是被无时无刻的监视和被攻击状态，各位站长经常性的去看网站日志情况，总会有RAR或PHP文件的请求，许多正是被有目的的用户进行批量的探索，一旦网站管理员进行本服务器备份，那么RAR格式的文件将给直接下载，这会给网站造成很大的损失。那么建网站时如何预防和应对黑客攻击提高网站安全性呢？

第一：网站被黑或者被攻击的原因有哪些？

当然有很大一部分是属于经济原因，但并非所有攻击都是因为经济缘故。大体来讲，导致黑客攻击的原因有：

1.受雇于他人的黑客行为，如商业竞争对手恶意竞争通过黑客手法攻击；如据互联安全网报道：黑客受雇恶意文档攻击西方企业，这类攻击就属于商业竞争行为。

2. 受商业利益驱使，敲诈勒索、盗取各类银行帐户信息及虚拟财产的黑客攻击行为；如各类钓鱼行为都属于商业利益驱使的攻击行为。

3.恶作剧型的黑客行为，如随意篡改网站首页；这类黑客攻击往往是一些新手的尝试行为，更多的是为了一种虚荣心的满足。

4.搜集肉鸡，攻击一个网站后，挂上网页木马（可导致浏览该网站者中毒而使自己的计算机成为入侵者的肉鸡）；这类是为其他类攻击原因作准备，据从互联安全网社区获得的案例，有黑客竟然通过这类行为掌握了数万台的肉鸡。

5.打击报复型，如网站服务不好而引起的商业纠纷等无法处理的时候会有黑客攻击行为；如前一段时间某威客网站经常遭受莫名攻击导致无法正常提供服务，有权威人士就指出乃是因为其网站客户服务不到位，无故刁难客户导致黑客人士不平进而遭受DDOS攻击，根本不是所谓其自己据称的遭受竞争对手恶意攻击。

6.窃取资料型，此类攻击主要针对一些资料网站包括收费用户网站，一般攻击者不会破坏服务器及网站数据，但会悄悄将数据偷走据为已有；如盗取网站管理员的密码之类。

7.菜鸟测试型，这类一般为一些正在学习黑客技术的人通过攻击网站练习的人骇客新手，这类攻击一般攻击经验少，容易对网站数据造成破坏。

第二：如何预防网站被黑客攻击呢？

1、首先要重视网站安全建设，从安全制度、安全硬件、安全人员配备等都要有一定的规划。如果网站的拥有者都不重视网站安全，仅把网站安全当作一个技术问题，那就是会带来严重的麻烦。

2、注入漏洞必须补上

什么是注入漏洞，怎么产生的，这些我也不好意思在这说了，百度上很多关于这方面的介绍。比如说你的网站是动态的(假设这个网址：www在网址后面加上and 1=1 显示正常，and 1=2 显示错误，说明你的网站就是存在注入漏洞。网上有很多注入工具还可以手工注入，可以达到破解管理员的帐号密码，而现在网上也流行cookie注入，比如说你and 1=1 和and 1=2 都显示错误，你没把cookie注入的漏洞补上的话，也是会造成黑客入侵的。这些修补漏洞代码网上很多，大家可以去下载。

3、修改数据库地址，并做好数据库备份

数据库地址，这很重要，比如说你是用新云，动易的，而且你因为方便没有去习惯数据库地址，这样你就会给黑客所利用。所以一定要改。同时要做好数据备份，防止不幸后可以将受攻击的损失降到最低。

4、同IP服务器站点绑定的选择

如果你不是自己用独立的服务器，那服务器绑定的选择也很重要，黑客会利用旁注的方法入侵网站，比如说你的网站黑客没有找到漏洞，他会利用和你绑定的网站上入手。个人认为不要和黑客站和网色网站所绑在一起。

5、用户名和密码长度设置复杂的

用户名和密码不要用默然的，比如说admin,admin.用户名和密码长度设置复杂的，比如说，现在网上有个在线的破MD5加密的网站，有些是要收费的，而且最长的只破到12位。当然不排除黑客用字典工具破解。密码个人认为一定要拼音与数字结合，有标点符号是最好。

6、进行安全检查，主动进行渗透检测，最好考虑联系专业的第三方安全服务机构进行独立和专业的渗透检测，避免内部力量的不足和非独立性。

第三：网站被黑客攻击了，别挂木马了怎么办？

如何发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。下载服务器日志(如果没被删除的话)，并且对服务器进行全盘杀毒扫描。

如果网站打开速度明显比之前的速度慢，排除了自身网络的原因，那么就有可能是网站中毒了，我们可以从以下几点入手：

1、robots屏蔽

使用robots屏蔽所有搜索，禁止搜索继续抓取;或停止网站内容更新只释放网站首页，并且所有访问均报503状态。这是笔者认为知道网站被黑客攻击时最直接的处理方式，当然这对于高权重的网站不太适用，只适合于新网站或企业类网站。

2、清理木马和黑客程序

查看源代码：发现网站代码最页头或最页尾被嵌入了比如script或者iframe这样的字符，说明被挂上了木马。通过FTP查看文件的修改时间：一般来说，黑客要修改网站文件，那么改文件的修改的时间就会跟改变，如果某些文件的修改时间明显比其他文件要晚，而我们自己并没有改动过，那么说明这个文件已经被黑客修改过了，可能已经中毒或挂上了木马，查看源文件就可以知。不过很多时候，黑客的木马程序植入到图片中，这是一个非常大的处理量，在处理前将网站服务器中所有的文件实行最高权限的限制，不允许文件被复制和修改。再利用查杀木马软件进行查杀，不过对于高权重网站如在第一时间无法及时处理黑客木马的情况下，建议直接使用备用服务器。

3、要明白网站被挂木马的原理

一般来说是由于网站本身采用的程序是来自网络免费程序，其中的代码和漏洞都为一些黑客所熟知，攻击起来易如反掌，尤其是一些asp程序。所以网站建设尽量少用网络上的免费程序搭建；黑客在找到漏洞之后就会上传黑客木马到网站中，这个木马具有删除整个网站，修改所有代码的功能，但大部分黑客会在源网站的代码中加入他们的一些木马和病毒文件，然后访问的人中毒成为他们的肉鸡，或者达到一些不为人知的目的。

4、提交劫持地址

谷歌和百度都有提交提交的地址，大家将网站被劫持的地址提交给他们，告知他们网站被攻击和域名被劫持，这样保留住网站的收录和排名，当然这和屏蔽搜索是同一步骤，只是将先后顺序笔者理顺。这时候可能很多站长在搜索中搜索自己网站的开始出现危险的警告，这时候无需管他，只要处理完木马和提交后，这个警告就会自动去除，一般在你清理完木马开放网站后的三天内。

防止黑客攻击的方法有哪些？

从技术上对付黑客攻击，主要采用下列方法：

（1）使用防火墙技术，建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问，作为网络软件的补充，共同建立网络信息系统的对外安全屏障。目前全球联入Internet的电脑中约有1/3是处于防火墙保护之下，主要目的就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。

（2）使用安全扫描工具发现黑客。经常使用“网威”等安全检测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具，用于发现安全漏洞及薄弱环节。当网络或系统被黑客攻击时，可用该软件及时发现黑客入侵的迹象，进行处理。

（3）使用有效的监控手段抓住入侵者。经常使用“网威”等监控工具对网络和系统的运行情况进行实时监控，用于发现黑客或入侵者的不良企图及越权使用，及时进行相关处理（如跟踪分析、反攻击等），防范于未然。

（4）时常备份系统，若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统，以便在非常情况下（如系统瘫痪或受到黑客的攻击破坏时）能及时修复系统，将损失减少到最低。

（5）加强防范意识，防止攻击。加强管理员和系统用户的安全防范意识，可大大提高网络、系统的安全性能，更有效地防止黑客的攻击破坏。

黑客攻击主要有哪些手段？

黑客主要运用手段和攻击方法

2004-12-02 来源: 责编: 滴滴 作者:

编者按：

不可否认,网络已经溶入到了我们的日常工作和生活中。因此，在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼，百战不贻”，要想尽量的免遭黑客的攻击，当然就得对它的主要手段和攻击方法作一些了解。闲话少说，咱这就入正题！

戴尔笔记本本周限时优惠 免费咨询800-858-2336

来源：黑客基地

不可否认,网络已经溶入到了我们的日常工作和生活中。因此，在我们使用电脑时就得时时考虑被网络攻击的防范工作。俗语说“知己知彼，百战不贻”，要想尽量的免遭黑客的攻击，当然就得对它的主要手段和攻击方法作一些了解。闲话少说，咱这就入正题！

（一）黑客常用手段

1、网络扫描--在Internet上进行广泛搜索，以找出特定计算机或软件中的弱点。

2、网络嗅探程序--偷偷查看通过Internet的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。

3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能)，称为“拒绝服务”问题。

4、欺骗用户--伪造电子邮件地址或Web页地址，从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等）。当一台主机的IP地址假定为有效，并为Tcp和Udp服务所相信。利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。

5、特洛伊木马--一种用户察觉不到的程序，其中含有可利用一些软件中已知弱点的指令。

6、后门--为防原来的进入点被探测到，留几个隐藏的路径以方便再次进入。

7、恶意小程序--微型程序，修改硬盘上的文件，发送虚假电子邮件或窃取口令。

8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令，能触发恶意操作。

9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据，以摧毁计算机控制系统或获得计算机控制权。

10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。

11、社交工程--与公司雇员谈话，套出有价值的信息。

12、垃圾桶潜水--仔细检查公司的垃圾，以发现能帮助进入公司计算机的信息。

（二）黑客攻击的方法：

1、隐藏黑客的位置

典型的黑客会使用如下技术隐藏他们真实的IP地址:

利用被侵入的主机作为跳板;

在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。

更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。

使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。

2、网络探测和资料收集

黑客利用以下的手段得知位于内部网和外部网的主机名。

使用nslookup 程序的ls命令;

通过访问公司主页找到其他主机;

阅读FTP服务器上的文挡;

联接至mailserver 并发送 expn请求;

Finger 外部主机上的用户名。

在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。

3、找出被信任的主机

黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。

一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。

Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。

黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。

分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。

4、找出有漏洞的网络成员

当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。

所有这些扫描程序都会进行下列检查:

TCP 端口扫描;

RPC 服务列表;

NFS 输出列表;

共享(如samba、netbiox)列表;

缺省账号检查;

Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。

进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。

如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。

5、利用漏洞

现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。

黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。

6、获得控制权

黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。

他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。

一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网

7．窃取网络资源和特权

黑客找到攻击目标后,会继续下一步的攻击,步骤如下:

（1）下载敏感信息

如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。

（2）攻击其他被信任的主机和网络

大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。

（3）安装sniffers

在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。

黑客会使用上面各节提到的方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。

（4）瘫痪网络

如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器,使网络瘫痪一段时间是轻而易举的事。

如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的网络彻底瘫痪一段时间

如何防止网站被黑客攻击？

有时候我们经常会碰到网站打不开，然后就接到黑客的勒索电话，这时候就说明你的网站可能被黑客攻击了，所以说网站安全很重要，没如果网站安全系数不高的话，轻的话可能使网站打不开，重的话因为网站打不开间接导致公司经济损失。所以在建设网站的时候应该要考虑网站的安全性。下面是五点网站安全措施防止网站被黑客攻击。

1.空间的安全性

一个网站空间的好坏是一个网站能否运行正常的基础，所以选择一家稳定的空间服务商是很重要的。空间好的网站被黑客攻击的难度也会加大。

2.网站程序编写及数据库应用

黑客攻击网站的方式基本都是通过注入SQL数据库、网站内容编辑器的漏洞以及上传漏洞等方式从而对网站进行攻击和挟持。所以在建设网站的时候，一定要采用W3C标准的网站制作方式制作网站。还有一般网站在建设当中都会预留一些端口为以后在建设，然后这种端口往往会被利用，所以在预留端口时要将程序暂时封锁起来。以及网站程序文件要设定必要的权限，如写入权限等。

3.登录页面需加密

有的网站需要注册登录，在登录后页面如果没有采取加密措施的话很可能被黑客攻击伪造一个登录表单来窃取用户资料，正确的做法就是对数据库加密和MD5加密。所以对登录页面必须采取加密行为。

4.必须连接安全有保障的网络

我们在连接网络的时候最好要确保这个网络是安全的，而不是那种未知网络，因为。如果在连接到一个安全没有保障的网络站点时，还必须要访问Web站点或Web服务器，使用一个安全代理能够避免网站安全问题的产生。反正在使用安全代理后，就能够依靠一个有安全保障的网络代理来实现安全资源的连接。

5.使用强健的、跨平台的兼容性加密

时代在进步，网络技术也在不断的更新换代，之前的SSL技术早已经成为Web网站加密的过去式，取而代之的是TLS(传输层安全)。相对于一个网站后端的管理来说，我们常常使用的微软的Windows远程桌面等较弱的加密工具也早就满足网站安全的需要，这是换个方式我们可以考虑使用HSS这类跨平台的强加密方案，这种方式具有更大的优越性。

作为一个网站的建设者，在网站建设过程当中对以上的问题都要到，还有就是网络技术在不断的更新，需要网站安全员不断的学习与进步从而来解决网站所面临各种安全问

怎样防止网络黑客攻击呢 ?

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS（拒绝服务）攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除

我的电脑被黑客攻击了怎么办？

安装第三方防火墙和杀毒软件

黑客是基于TCP/IP协议通过某个端口进入黑客攻击漏洞最可靠的解决方案你黑客攻击漏洞最可靠的解决方案的个人电脑的。如果你的电脑设置了共享目录黑客攻击漏洞最可靠的解决方案，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，就来说利用软件如何发现自己电脑中的木马.

如何发现自己电脑中的木马

再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏...��查找木马.

进一步查找木马

让黑客攻击漏洞最可靠的解决方案我们做一个试验：netspy.exe开放的是7306端口，用工具把它的端口修改了，经过修改的木马开放的是7777端口了，现在再用老办法是找不到netspy.exe木马了。我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。

排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。

扫描这么多端口是不是很累，需要半个多小时，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得在硬盘上删除木马.

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。

Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表 中的位置不会改变，你可以到注册表的这个位置去找。

另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。

SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是无害的木马，其实这是最可恶、最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。

而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。我们再来作做这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。

你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。?nbsp;

排除了木马以后，你就可以监视端口，---- 悄悄等待黑客的来临.

电脑如果遭遇黑客攻击怎么办？

一旦找到了服务器存在的问题，那么后果将是严重的。这就是说作为网络管理员应该采取不要的手段防止黑客对服务器进行扫描，本节我将谈谈如何才能让自己的服务器免遭黑客扫描。

一、防范黑客心得体会：

1、屏蔽可以IP地址：

这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。

2、过滤信息包：

通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

3、修改系统协议：

对于漏洞扫描，系统管理员可以修改服务器的相应协议，例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

4、经常升级系统版本：

任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

5、及时备份重要数据：

亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。

然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

6、使用加密机制传输数据：

对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该仙经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

二、防火墙使用说明：

1．什么是防火墙？

防火墙的英文叫做firewall，它能够在网络与电脑之间建立一道监控屏障，保护在防火墙内部的系统不受网络黑客的攻击。逻辑上讲，防火墙既是信息分离器、限制器，也是信息分析器，它可以有效地对局域网和Internet之间的任何活动进行监控，从而保证局域网内部的安全。

网络上最著名的软件防火墙是LockDown2000，这套软件需要经过注册才能获得完整版本，它的功能强大，小到保护个人上网用户、大到维护商务网站的运作，它都能出色的做出惊人的表现。但因为软件的注册需要一定费用，所以对个人用户来说还是选择一款免费的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了，天网防火墙个人版是一套给个人电脑使用的网络安全程序，它能够抵挡网络入侵和攻击，防止信息泄露。

2、天网防火墙的基本功能：

天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，以下所述的问题都是针对互联网而言的，故所有的设置都是在互联网安全级别中完成的。 怎样防止信息泄露？ 如果把文件共享向互联网开放，而且又不设定密码，那么别人就可以轻松的通过互联网看到您机器中的文件，如果您还允许共享可写，那别人甚至可以删除文件。 你可以在个人防火墙的互联网安全级别设置中，将NETBIOS 关闭，这样别人就不能通过INTERNET访问你的共享资源了（这种设置不会影响你在局域网中的资源共享）。

当拨号用户上网获得了分配到的IP地址之后，可以通过天网防火墙将ICMP关闭，这样黑客用PING的方法就无法确定使用者的的系统是否处于上网状态，无法直接通过IP地址获得使用者系统的信息了。

需要指出的是：防火墙拦截的信息并不完全是攻击信息，它记录的只是系统在安全设置中所拒绝接收的数据包。在某些情况下，系统可能会收到一些正常但又被拦截的数据包，例如某些路由器会定时发出一些IGMP包等；或有些主机会定时PING出数据到本地系统确认连接仍在维持着，这个时候如果利用防火墙将ICMP和IGMP屏蔽了，就会在安全记录中见到这些被拦截的数据包，因此这些拦截下来的数据包并不一定是黑客对系统进行攻击造成的。

3、使用防火墙的益处：

使用防火墙可以保护脆弱的服务，通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，同时可以拒绝源路由和ICMP重定向封包。

另外防火墙可以控制对系统的访问权限，例如某些企业允许从外部访问企业内部的某些系统，而禁止访问另外的系统，通过防火墙对这些允许共享的系统进行设置，还可以设定内部的系统只访问外部特定的Mail Server和Web Server，保护企业内部信息的安全。

4、防火墙的种类：

防火墙总体上分为包过滤、应用级网关和代理服务器等三种类型：

（1）数据包过滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

（2）应用级网关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

（3）代理服务

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。