肉鸡入侵后的保护不完全总结

mjlmjl

首先说明，这是我自己的认识，不一定全面，大家还知道其他的需要关闭的服务可以继续添加。


    对于小菜而言，得到的肉鸡往往是网上有那些弱口令或者是空口令的机器。既然你能进来，别人也同样可以进来。这里就给大家谈谈如何来关闭一些服务，尽可能的保住我们自己的肉鸡

首先来说一下如何进入服务面板。我们在开始运行中输入“services.msc”然后回车就可以进去了。

一.关闭telnet服务
  这个是一定要关闭的，如果你是扫到了弱口令进来的，那么还是关闭上telnet服务【服务名称：telnet】吧。或者更改端口也可以。还是用我们的木马来控制吧。原因我就不多说了

二.关闭远程注册表服务
  大家知道注册表是windows系统的心脏。在管理工具中我的电脑里可以通过输入对方的IP地址和帐号来管理对方的注册表内容。所以我们必须关闭了它。【服务名称：Remote Registry Service】把这个服务关闭并且禁用。

三.at命令
  at命令可以使远程控制者制定某一个时间运行你机器中的某个文件。所以我们也要把它关闭了。它对应的服务名是【Task Scheduler】

四.远程终端服务
   如果你是一个家庭用户，那这个服务对你来说基本是没有任何意义的，但是对某些好事的人来说就是最最喜爱的了。3389这个名称估计对电脑了解一些的人都知道是干吗用的。对应的服务为【Terminal Services】把它关闭吧。如果你非要用它来管理你的肉鸡，那你也要给它转移端口。

下面我们来改一些其他的东西，首先来不让管理员看到我们登陆的用户名。
这个在注册表中进行更改：进入这里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，在右边找一个键值DontDisplayLastUserName（如果不存在就创建一个）把它的键值改为1。

下面要做的就是防止IPC连接（您是不是通过这个方法进来的啊？呵呵）
同样，我们也是在注册表中进行更改。找到这里 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，找到这个主键
restrictanonymous，把它改成1。之后我们进入CMD中，把那些共享（可以用net share查看）关闭掉。

之后我们通过改注册表来更改3389的端口号码。
在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp在右边找到PortNumber。我们可以在十进制下进行修改。改成你认为比较隐蔽的端口号就可以了。然后打开用户管理器，不允许除你以外的所有用户通过远程终端登陆。

再然后我们就是查看除你之外还有没有其他帐号的存在，把其他帐号都删除了。再用软件fport来查看一下都开放了哪些端口，把可疑程序都杀掉。

最后我们在cmd下进入对方的c:\winnt\system32,写入命令 ren net.exe othername.exe 这个命令的意思就是更改net应用程序的名称了。以后别人就算进来了之后不知道名称也无法用net命令建立帐号和克隆管理员了。

姑且就总结这么多，大家有什么其他的妙着也加上来，相信这样一番设置，一般的小菜很难再从你的手里把肉鸡抢