1).关闭135端口

    使用Windows 2000或者XP的用户都被那个利用RPC服务漏洞的蠕虫病毒折腾的够戗,该病毒主要***手段就是扫描计算机的135端口来进行***.一种手动关闭135端口的方法,虽然不能完全解决问题,但也是能解一时的燃眉之急。更新微软的补丁还是必要的。
  用一款16位编辑软件(推荐UltraEdit)打开你系统x:winnt\system32或者x:windows\system32下的rpcss.dll文件。
  查找31 00 33 00 35替换为30 00 30 00 30
查找3100330035,将其替换为3000300030,意思就是将135端口改为000。
  至此修改的任务已经完成,下面将面临一个保存的问题。因为该文件正在运行,在Windows环境下是不能覆盖的。如果你是FAT32文件系统,那么直接引导进DOS环境,将修改好的文件覆盖掉原来的文件。
  如果是NTFS格式,相对就麻烦一些。进安全模式。然后启动pulist列出进程,然后用pskill这个程序(不少***网站有的下)杀掉svchost.exe程序。然后在COPY过去。
  覆盖后重新启动,使用netstat -an命令,可以看到Windows 2000下已经没有135端口了。XP系统下还有TCP的135,但是UDP里面已经没有135端口了。

在DOS下覆盖就是系统重启到DOS系统下,
进入修改好的rpcss.dll文件目录(不要使用中文名字,显示乱码不好找),
输入: copy *.* c:\windows\system32 (注意有空格)
提示是否覆盖,选择“all”,覆盖完重启就OK了!

    2). 关闭139端口

    方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。

  3.防止Rpc漏洞

  打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
  XP SP2和2000 pro sp4,均不存在该漏洞。

  4.445端口的关闭

  修改注册表,添加一个键值

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。

    5.3389的关闭

  XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

  Win2000: 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
  使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。

  6.4899的防范

  网络上有许多关于3389和4899的***方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被***用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
  4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到***的电脑并运行服务,才能达到控制的目的。
  所以只要你的电脑做了基本的安全配置,***是很难通过4899来控制你的。
 
Windows XP系统
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。

以上选项有对应的注册表键值,因此也可通过注册表来修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp”
此外,还需要停用“Distributed Transaction Coordinator”服务。

重启之后, 135端口就没有了。

Windows 2000系统
前面的步骤和在XP下相同,只是需要多停用一个服务,“Task Scheduler”注意dcomcnfg的界面稍有不同,不过内容是一样的。

Windows 2003
以上方法在2003下无效,目前我只找到一个折中的方法。默认情况下,135端口是在所有地址上监听的,如果只在本机回环地址上监听,也不失为一种解决办法。要想改变135监听的地址,需要Windows Server 2003 Resource Kit tools中的rpccfg.exe。

首先看一下网卡上都有哪些网段:rpccfg -l,一般情况下输出如下:
1 127.0.0.0 1 MS TCP Loopback interface
2 192.168.0.0 1 Realtek RTL8139/810x Family Fast Ethernet NIC

然后输入;rpccfg -a 1。这样只有本机回环地址才开放135端口。