1. 机器工作不正常,如何手工检查是否感染了病毒(或蠕虫)?
Step1: 在不打开任何应用程序的情况下打开"任务管理器",如果CPU的利用率,看一下当时占用CPU最大的进程,如果该进程不是自己发起的,有可能是感染了病毒(或蠕虫);
Step2: 仍然是在在不打开任何应用程序的情况,命令行提示符下执行 netstat -an ,看否有有异常端口打开,并建立了大量的连接。如果是,有可能是感染了蠕虫;
Step3: 运行fport,检查异常端口及异常连接是由哪个进程发起的;
Step4: 打开注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run看在右边的栏里有没有跟刚才发现的异常进程名字相似的项,如有,该进程可能就是病毒(蠕虫),在"数据"一栏里就是该可疑程序的目录。
2. 自己的机器感染了病毒(或蠕虫),杀毒软件无法杀毒,如何手工杀毒?
Step1: 到注册表中查找与该病毒相关的项,并把它全部删除;
Step2: 打开 "控制面板"->"管理工具"->"服务",找到该病毒发起的服务并停止它;
Step3: 打开任务管理器,在进程列表中找到所有病毒进程并结束它,如果系统不允许结束该进程,重启计算机后在重复这一步;
Step4: 到我的电脑中把病毒文件删除。
3. 发现计算机内有可以程序又不能确定它是否是病毒,应该怎么办?
请教管理员,或者打电话/发邮件给我们,我们可以提供远程技术支持。 联系方式: Tel: 010-62784301 Email: report@ccert.edu.cn 主页:http://www.ccert.edu.cn
4. Fport是干吗的?到哪儿去下载?
Fport是一个系统工具,利用它可以看到每个端口的监听进程是什么;可以到我们的网站上去下载: http://www.ccert.edu.cn/pub/safetools/idstools/fport.zip
5. 为什么我执行fport什么都看不到?
Fport必须到dos下执行,如果在win2000下应到命令行提示符下执行。
6. 为了安全的使用个人计算机,是不是必须要装防火墙?
没有必要,只要你停掉不必要的服务,并且及时升级系统补丁及杀毒软件,对于普通的个人PC来说就足够了。
7. 刚装完操作系统时,如何配置系统使它更安全?
刚装完系统后,最先要做的同时也是重要的几点是: <1> 给管理员账号设置一个安全的口令 <2> 禁用或删除不必要的账号 <3> 打上最新的补丁; <4> 停掉不必要的服务; <5> 装一个最新版并可以升级的杀毒软件;
8. Windows系统的补丁到哪儿去打?
可以用系统自带的Windows Update(开始->Windows Updata)自动去打补丁,也可以到我们的主页上去下载补丁。 http://www.ccert.edu.cn/patch/index.php
9. Linux/Unix系统的补丁到哪儿去打?
在较高版本的Linux/Unix系统中都自带Updata的功能,如果没有, 你可以到开发商的网站上去下载,及个常见的版本如下: RedHat: http://www.redhat.com/support/errata/ TurboLinux: http://www.turbolinux.com/security/ Solaris: ftp://sunsolve1.sun.com/pub/patches/ http://sunsolve1.sun.com/ AIX: http://techsupport.services.ibm.com/rs6000/fixes/ BSD/OS: http://www.bsdi.com/services/support/patches/ FreeBSD: ftp://ftp.freebsd.org/pub/FreeBSD/releases/
10. 在Window系统中服务怎么停,什么服务应该停?
在"控制面板"->"管理工具"->"服务"中,可以配置Windows 2000的服务,配置的基准可以参考附录一.Windows 2000 服务配置参考。
11. Linux/Unix系统的服务怎么停?
在管理员的权限下,执行"setup"命令->选中"System services",即可进入配置服务的界面。
12. 为什么下载了RPC的补丁之后打不上去,执行时总是报错?
主要有以下三种情况: <1> 版本不对,例如Win2000的系统却下载WinXP的补丁,中文版的操作系统下载的却是英文版的补丁; <2> 如果WinXP的系统没启动"加密服务"会造成补丁打不上,可以到"控制面板"->"管理工具"->"服务"中把该服务启动后再重新打; <3> 盗版的WinXP无法打补丁。
13. 前几天网络速度特别慢,怀疑校园网内有很多机器感染了蠕虫,怎么才能知道具体是那台机器感染了蠕虫?
前一段时间由于Nachi大量对外发出大量的ICMP的数据包,严重阻塞网络,致使网络速度特别慢,想在局域网内检测感染Nachi的具体主机可以用以下几种方法: <1> 在主干交换机(或路由器)上做端口镜像,然后拿出一台服务器做入侵检测,凡是发送的数据匹配Nachi蠕虫规则的主机,应该就是感染了Nachi蠕虫,Snort兼容的系统可使用如下检测规则: alert icmp $EXTERNAL_NET any -> \$HOME_NET any (msg:"W32.Nachi.Worm infect "; \content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|"; \itype:8;depth:32; \reference:http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;) <2> 如果做端口镜像比较困难的话,在局域网内用一台服务器按以上的规则监听也可以,不过效果可能不如上述的方法; <3> 用一台服务器作为扫描服务器,扫描局域网内的707端口,开了707端口的机器可能感染了Nachi蠕虫。
附录一、windows 2000 服务配置参考 我们建议您对服务作如下配置("默认"为系统初始设置,"基准"是我们建议的设置)。
服务 全称 默认 基准 Alerter Alerter(警报器) 手动 禁用 AppMgmt Application Management(应用程序管理) 手动 禁用 ClipSrv ClipBook(剪贴簿) 手动 禁用 EventSystem COM+ Event System(COM+ 事件系统) 手动 手动 Browser Computer Browser(计算机浏览器) 自动 禁用 DHCP DHCP Client(DHCP 客户) 自动 自动 Dfs Distributed File System(分布式文件系统) 自动 仅在 域控制器 角色中启用 TrkWks Distributed Link Tracking Client(分布式链接跟踪客户) 自动 自动 TrkSrv Distributed Link Tracking Server(分布式链接跟踪服务器)手动 禁用 MSDTC Distributed Transaction Coordinator(分布式事务协调器) 自动 禁用 DNSCache DNS Client(DNS 客户) 自动 自动 EventLog Event Log(事件日志) 自动 自动 Fax Fax Service(传真服务) 手动 禁用 NtFrs File Replication(文件复制) 手动 禁用 IISADMIN IIS Admin Service(IIS 管理服务) 自动 禁用 Cisvc Indexing Service(索引服务) 手动 禁用 SharedAccess Internet Connection Sharing(Internet 连接共享)手动 禁用 IsmServ Intersite Messaging(站间消息传递) 禁用 禁用 PolicyAgent IPSEC Policy Agent(IPSEC Service)(IPSEC 策略代理程序(IPSEC 服务)) 自动 禁用 Kdc Kerberos Key Distribution Center(Kerberos 密钥分发中心)禁用 仅在 DC 角色中启用 LicenseService License Logging Service(许可证记录服务) 自动 禁用 Dmserver Logical Disk Manager(逻辑磁盘管理器) 自动 自动 Dmadmin Logical Disk Manager Administrative Service(逻辑磁盘管理器管理服务) 手动 手动 Messenger Messenger(信使) 自动 禁用 Netlogon Net Logon(网络登录) 自动* 自动 Mnmsrvc NetMeeting Remote Desktop Sharing(NetMeeting 远程桌面共享) 手动 禁用 Netman Network Connections(网络连接) 手动 手动 NetDDE Network DDE(网络 DDE) 手动 禁用 NetDDEdsdm Network DDE DSDM(网络 Network DDE DSDM) 手动 禁用 NtLmSsp NTLM Security Support Provider(NTLM 安全支持提供程序) 手动 禁用 SysmonLog Performance Logs and Alerts(性能日志和警报) 手动 手动 PlugPLay Plug and Play(即插即用) 自动 自动 Spooler Print Spooler(打印后台处理程序) 自动 仅在"文件和打印"角色中启用 ProtectedStorag Protected Storage(受保护存储) 自动 自动 RSVP QoS Admission Control (RSVP)(QoS 许可控制 (RSVP)) 手动 禁用 RasAuto Remote Access Auto Connection Manager(远程访问自动连接管理器) 手动 禁用 RasMan Remote Access Connection Manager(远程访问连接管理器) 手动 禁用 RpcSs Remote Procedure Call(远程过程调用,RPC) 自动 自动 Rpclocator Remote Procedure Call (RPC) Locator(远程过程调用 (RPC) 定位器) 手动 仅在 DC 角色中启用 RemoteRegistry Remote Registry Service(远程注册表服务) 自动 自动 NtmsSvc Removable Storage(可移动存储) 自动 禁用 RemoteAccess Routing and Remote Access(路由和远程访问) 禁用 禁用 Seclogon RunAs Service(RunAs 服务) 自动 禁用 SamSs Security Accounts Manager(安全帐户管理器) 自动 自动 Lanmanserver Server(服务器) 自动 自动 SMTPSVC Simple Mail Transport Protocol(简单邮件传输协议,SMTP)自动 禁用 ScardSvr Smart Card(智能卡) 手动 禁用 ScardDrv Smart Card Helper(智能卡助手) 手动 禁用 SENS System Event Notification(系统事件通知) 自动 自动 Schedule Task Scheduler(任务计划程序) 自动 禁用 LmHosts TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务)自动 自动 TapiSrv Telephony(电话服务) 手动 禁用 TlntSvr Telnet(远程登录协议) 手动 禁用 TermService Terminal Services(终端服务) 禁用 禁用 UPS Uninterruptible Power Supply(不间断电源) 手动 禁用 UtilMan Utility Manager(工具管理器) 手动 禁用 MSIServer Windows Installer(Windows 安装服务) 手动 禁用 WinMgmt Windows Management Instrumentation(Windows 管理规范) 手动 禁用 WMI Windows Management Instrumentation Driver Extensions(Windows 管理规范驱动程序扩展) 手动 手动 W32Time Windows Time(Windows 时间服务) 自动* 自动 LanmanWorkstation WorkStation(工作站) 自动 自动 W3svc World Wide Web Publishing Service(万维网发布服务) 自动 仅在 IIS 角色中启用 |