服务器后门

A. 如何防服务器后门

一、修改windows默认的远程端口
也许有高手认为自己做的挺安全的，就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵，另外一方面也是防止被扫描影响系统的稳定。
有了解过扫描3389软件的人都知道，一般的攻击者都是扫描3389端口的，所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢？如果您的服务器默认是使用3389端口，扫描软件就会强力尝试密码字典里的密码，与您的主机建议很多的连接，占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的，希望大家重视。

二、修改windows默认的用户名
我们做安全也是针对攻击的行为而制作相对的策略，攻击的人尝试密码破解的时候，都是使用默认的用户名administrator，当你修改了用户名之后，它猜不出您的用户名，即使密码尝试上千万次都不会成功的，如果要使用用户名字典再加下密码字典，我估计攻击者就没有那个心思了，而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。
那么修改成什么样的用户名才是比较安全呢？个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如： 非诚勿扰ADsp0973

三、使用复杂的密码
从扫描以及破解的软件看，都是使用简单的常用的密码进行破解的，例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码，所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。
建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。

四、注意以上三点是必然的安全策略，建议还要不定时修改一下用户名与密码，远程端口，扫描病毒这些操作。
维护系统的安全以及业务的稳定运行，这些步骤必不可少，请各位服务器管理员重视，安全不怕做多，就怕做少。这些都是常用的操作维护系统的安全，当然也有其它方面的安全性需要巩固的，做到上面的几点都已经够了，如果系统里的哪些端口以及服务是比较危险的，这个也需要从那个方面去加固一下。

总结：以上是我平常使用的最基本方法，也是最简单的了，希望可以带给大家帮助，谢谢。如何修改远程端口、用户名与密码？这些也是很简单操作就可以的了。如果实在不懂，可以联系下我，谢谢。

B. 服务器被放置了后门文件，如何判后门文件是从服务器哪个端口进来的

一般都是通过网站程序后门然后提权拿到服务器权限进行后门操作。检查下网站或数据库有无可疑的文件可以查看下最近修改的文件日期来排查一下估计是被上传了webshell

C. 怎么给电脑(服务器)留后门

好多后门呀、、真的很多、、一时间都想不起来。。
最简单的开个3389或4899

我记得有一个TMD远控。
反正我这上面显示的是TMD
是不是我不知道、、
这个远控的特点是..
服务端1K、、
留作后门的好帮手啊！

D. 服务器里有后门程序怎么办

最简单的办法是打补丁 就是先把能堵的漏洞给堵了
然后找到后门的程序，如果不是必须运行程序的话，最好删除
要是必须运行程序的话，建议用软件屏蔽，或者隔离

E. 如何在服务器留下长期隐蔽性后门

但绝对不能容忍的是，服务器被植入后门，攻击者如入无人之境，而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析，知己知彼方能杜绝后门。
1、放大镜后门 放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具，它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具，因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序，从而达到控制服务器的目的。 通常情况下，攻击者通过构造的magnify.exe程序创建一个管理员用户，然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。需要说明的是，这样调用的程序都是system权限，即系统最高权限。不过，以防万一当管理员在运行放大镜程序时发现破绽，攻击者一般通过该构造程序完成所需的操作后，最后会运行真正的放大镜程序，以蒙骗管理员。其利用的方法是： (1).构造批处理脚本 @echo off
net user gslw$ test168 /add
net localgroup administrators gslw$ /add
%Windir%system32 agnify.exe
exit 将上面的脚本保存为magnify.bat，其作用是创建一个密码为test168的管理员用户gslw$，最后运行改名后的放大镜程序nagnify.exe。(图1)
(2).文件格式转换 因为批处理文件magnify.bat的后缀是bat，必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件，当然也可以利用bat2com、com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。 打开命令行，进入bat2com、com2exe工具所在的目录，然后运行命令“bat2com magnify.bat”将magnify.bat转换成magnify.com，继续运行命令“com2exe magnify.com”将magnify.com转换成magnify.exe，这样就把批处理文件转换成和放大镜程序同名的程序文件。(图2)(3).放大镜文件替换 下面就需要用构造的magnify.exe替换同名的放大镜程序文件，由于Windows对系统文件的自我保护，因此不能直接替换，不过Windows提供了一个命令replace.exe，通过它我们可以替换系统文件。另外，由于系统文件在%Windir%system32dllcache中有备份，为了防止文件替换后又重新还原，所有我们首先要替换该目录下的magnify.exe文件。假设构造的magnify.exe文件在%Windir%目录下，我们可以通过一个批处理即可实现文件的替换。 @echo off
%Windir%system32dllcachemagnify.exe nagnify.exe
%Windir%system32magnify.exe nagnify.exe
replace.exe %Windir%magnify.exe %Windir%system32dllcache
replace.exe %Windir%magnify.exe %Windir%system32
exit 上面批处理的功能是，首先将放大镜程序备份为nagnify.exe，然后用同名的构造程序将其替换。(图3)
(4).攻击利用 当完成上述操作后，一个放大镜后门就做成了。然后攻击者通过远程桌面连接服务器，在登录界面窗口摁下本地键盘的“Win+U”组合键，选择运行其中的“放大镜”，此刻就在服务器上创建了一个管理员用户gslw$并打开了放大镜工具，然后攻击者就开业通过该帐户登录服务器。当然，攻击者在断开登录前会删除所有与该帐户相关的信息，以防被管理员发现。(图4) (5).防范措施 进入%Windir%system32查看magnify.exe的文件图标是否是原来的放大镜的图标，如果不是的话极有可能被植入了放大镜后门。当然，有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间，如果这两样有一项不符就比较怀疑了。我们也可以先运行magnify.exe，然后运行lusrmgr.msc查看是否有可疑的用户。如果确定服务器被放置了放大镜后门，首先要删除该文件，然后恢复正常的放大镜程序。当然，我们也可以做得更彻底一些，用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身，构造一个magnify.exe，通过其警告攻击者或者进行入侵监控和取证。 补充：与放大镜后门类似的还有“粘滞键”后门，即按下SHIEF键五次可以启动粘滞键功能，其利用和防范措施与放大镜后门类似，只是将magnify.exe换成了sethc.exe。 2、组策略后门 相对来说，组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩，也为大家所熟知。其实，在最策略中也可以实现该功能，不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性，因此常常被攻击者利用来做服务器后门。 攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本，最简单的比如创建一个管理员用户，他可以这样做： (1).创建脚本 创建一个批处理文件add.bat，add.bat的内容是：@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。 (2).后门利用 在“运行”对话框中输入gpedit.msc，定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”，在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户，就是他看见并且删除了该帐户，当系统关机时又会创建该帐户。所以说，如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。 其实，对于组策略中的这个“后门”还有很多利用法，攻击者通过它来运行脚本或者程序，嗅探管理员密码等等。当他们获取了管理员的密码后，就不用在系统中创建帐户了，直接利用管理员帐户远程登录系统。因此它也是“双刃剑”，希望大家重视这个地方。当你为服务器被攻击而莫名其妙时，说不定攻击者就是通过它实现的。(图5)(3).后门防范 组策略后门是攻击者利用了管理员的疏忽心理，因为对于组策略中的“(启动/关机)脚本”项往往被大家忽略，有些管理员甚至不知道组策略中的这个选项。防范这类服务器后门，也非常简单，只需打开组策略工具，定位到“脚本(启动/关机)”项下进行查看。当然也可以进入 和目录检查是否有可疑的脚本。

F. 网络中后门是什么意思

就是让攻击者可以在以后的日子里可以随时进行连接的东西，不一定是程序，可能会在你的系统里面留一个后门账户，可以随时进行远程桌面连接的后门账户。