校园网内计算机安全防护及病毒防护知识

    一、校园网内计算机使用概况

    我校校园网接入的计算机数量很大,计算机普遍采用 windows 作为操作系统,而目前流行于 Internet 的各种针对 windows 系统的蠕虫病毒肆虐,因此计算机的安全防护和病毒防护颇为重要。
    在我们日常工作中遇到很多用户提到的问题,都涉及到计算机网络安全、病毒防护,在这里有必要引导用户如何安全、稳定的使用计算机。

    二、常见用户提出的几个疑问

    用户在使用计算机的过程中经常会提出下面的一些问题,下面做出简要解答。

    1 、我的计算机为什么突然变慢?

    答:计算机可能感染蠕虫病毒,不停往外发送数据包。在命令提示符下面用 netstat –an 察看一下计算机是否对局域网其他机器发送数据包,主要看是否往其他机器的 445 端口发送数据包,检查计算机是否感染蠕虫病毒,可以用最新的杀毒软件查杀。

    2 、我的计算机为什么流量突然增加?

    答:计算机可能感染了蠕虫病毒,或者中了木马程序而被别人设置了代理。用户可以用“ netstat –an ”命令察看自己的计算机是否往局域网其他计算机发送数据包。

    3 、我的计算机安装了防病毒软件,为什么还是发现病毒?

    答:可能由于用户无意间打开邮件中携带病毒的附件,或者下载的一些软件中可能含有病毒程序,或者由于操作系统没有设置口令或管理员口令过于简单而被口令蠕虫病毒攻击,或者没有及时更新最新的病毒定义库。
    建议及时的更新病毒定义库,例如 Norton Antivirus 的病毒定义升级方便快捷,而且可以设置自动升级:点击 option 选项中的 Liveupdate ,然后在出现的对话框中选择 enable automatic LiveUpdate 。

    4 、我的计算机为什么突然丢失文件,而且多了一个未知的账号?

    答:这种情况多发生于 Win2000 操作系统,计算机可能由于没有设置口令或者口令过于简单导致系统被蠕虫病毒攻破,而病毒会自动在你的系统里面添加一个管理员账户,并且植入一个木马程序。或者网络上的一些上网用户通过 file://xxx.xxx.xxx.xxx/c$ 这样的命令访问你的计算机,如果管理员帐户没有设置口令或者口令过于简单,计算机马上就能被控制。
    解决的方法:设置复杂的口令,更改 Administrator 帐户名称。

    5 、我的计算机安装了操作系统补丁( windows update ),安装了防病毒软件,而且也按时升级病毒定义文件,为什么还是被种了木马程序?

    答:有几个原因,可能是由于管理员口令过于简单,或者没有设置口令,导致被口令蠕虫病毒攻击;可能是由于打开了不明邮件的附件导致;可能是由于下载了不明软件或者程序导致。

    针对上面的这些问题最彻底的解决方法就是格式化系统盘并重新安装操作系统,否则不能保证杀毒软件能够彻底杀除病毒,更不能确定系统是否留有后门。在后面的附录中介绍有几种常见蠕虫病毒杀查方法。

    三、计算机操作系统安装步骤

    重新安装一台计算机的软件系统应该按照以下步骤:

    1 、用确认无病毒的启动光盘安装 Windows98/2000/Xp ,最好采用 ntfs 文件系统格式化系统盘。

    2 、安装过程不再赘述,但注意,如果您安装的是 Win2000 Advanced Server 版本,请不要选择 IIS 组件,如果您需要使用 IIS 组件,请在系统完全安装完毕以后再进行安装。

    3 、安装过程中为您的管理员帐户设置一个安全的口令。 口令设置要求:

    1)口令应该不少于8个字符;

    2)不包含字典里的单词、不包括姓氏的汉语拼音;

    3)同时包含多种类型的字符,比如:写字母(A,B,C,..Z);小写字母(a,b,c..z);数字(0,1,2,…9);标点符号(@,#,!,$,%,& …)

    4 、系统基本系统安装完毕后应立即安装防病毒软件并立即升级最新病毒定义库,建议使用 Norton Antivirus 软件。

    5 、Windows update ,在 windows 的站点升级 windows 系统补丁,该站点会自动扫描你的计算机需要安装的安全补丁和更新选项,这一项需要的时间稍微长一些,用户只需更新 windows 推荐的更新即可。

    6 、升级完所有的推荐更新以后,可以选择安装防火墙软件,完全根据用户自己的需求,不安装也不会影响正常的使用,建议使用 Norton Security ,用户可以选择系统自动创建防火墙规则。有的时候会出现因为防火墙规则不正确导致不能收发邮件的问题,可以手动添加一条防火墙规则,因为不同版本的防火墙软件的设置方法不一样,因此不在这里详细给出,用户只需对相应的邮件客户端软件的主程序设置规则即可,即允许双向进出,大多数防火墙软件会根据计算机上的应用软件创建相应的规则。

    7 、提醒,如果用户使用的是 professional 版的 windows ,可以考虑在安装完基本系统以后 rename 管理员帐户名,就是在管理工具 — 〉账户管理 — 〉下面重命名 administrator ,更改称自己熟悉和喜欢的名字,因为 administrator 是系统默认的管理员帐户,更改有助于防止口令蠕虫轻易的进入系统。

    四、计算机安全使用常识

    在安装完整个系统以后,在日常使用计算机的过程中应该注意以下问题

    1 、定期升级系统安全补丁,定期升级病毒定义库,可以使用自动更新。

    2 、不要轻易打开不安全的邮件附件,比如说“ .exe ”文件,“ .chm ”文件等等。

    3 、不要随便下载和安装互联网上的一些小的软件或者程序。

    4 、定期用防病毒软件检测系统有没有病毒。

    5 、关掉不必要的服务,比如说文件共享,message 服务等等。

    6 、如果发现自己的计算机突然变慢或者流量异常,请立即用 netstat –an 命令来查看计算机哪些端口开放,计算机是否向其他地址发送数据包。

    五、如何避免信使干扰

    用户上网的时候经常会遇到屏幕弹出一些 windows 消息对话框,这是由于用户计算机没有关掉 messager 服务,关闭的方法,进入控制面板,服务,选择 Messager 服务选项,停止以后,选择禁用。这样就可以免受这些垃圾信息的骚扰。

    六、几个防病毒知识的网站

    介绍几个相关知识的网站,有兴趣的用户可以访问并查找自己所需要的资料:

    http://www.ccert.edu.cn/     中国教育和科研计算机网紧急响应组

    http://www.net110.net/      网络 110

    http://www.infosec.gov.cn/   中国信息安全网

    七、常用软件和系统安全补丁下载

    请访问 沈阳理工大学网上杀毒系统 在线查杀病毒

    请访问 南区FTP -〉软件 -〉安全防护下载相关软件

    请访问 南区FTP -〉系统 -〉系统补丁 下载相关补丁

 

    附录:

常见木马和未授权远程控制软件的关闭

    以下各种木马及未授权被安装的远程控制软件均由于没有正确的设置管理员密码造成的。请先检查系统中所有帐号的口令是否设置的足够安全。

    一、win2000口令设置方法:

    当前用户口令:

    在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。

    其他用户口令:

    在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

    二、113端口木马的清除(仅适用于windows系统):

    这是一个基于irc聊天室控制的木马程序。

    1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

    2.使用fport命令察看出是哪个程序在监听113端口

    fport工具需要下载,例如我们用fport看到如下结果:

    Pid Process    Port Proto Path

    392 svchost -> 113  TCP   C:\WINNT\system32\vhos.exe

    这样就可以确定在监听在 113 端口的木马程序是 vhos.exe 而该程序所在的路径为 c:\winnt\system32 下。

    3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程, 并使用管理器结束该进程。

    4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。

    5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、IPcpass.dic、IPcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)

    6.重新启动机器。

    三、3389端口的关闭:

    首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。

    win2000关闭的方法:

    win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

    win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项,选中属性选项将启动类型改成手动,并停止该服务。

    winxp关闭的方法:在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

    四、4899端口的关闭:

    首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

    关闭4899端口:

    请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件。

    五、5800,5900端口:

    1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会 c:\winnt\fonts\explorer.exe)

    2. 在任务管理器中杀掉相关的进程 ( 注意有一个是系统本身正常的 , 请注意 ! 如果错杀可以重新运行 c:\winnt\explorer.exe)

    3. 删除 C:\winnt\fonts\ 中的 explorer.exe 程序。

    4. 删除注册表

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中的 Explorer 项

    5.重新启动机器。

    六、6129端口的关闭:

    首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。

    关闭6129端口:

    选择开始-->设置-->控制面板-->管理工具-->服务,找到DameWareMini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

    七、45576端口:

    这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带来额外的流量)

    关闭代理软件:

    1.请先使用fport察看出该代理软件所在的位置

    2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。

    3.到该程序所在目录下将该程序删除。

 

沈阳理工大学现代教育技术中心
2004年6月15日