9,506
社区成员
发帖
与我相关
我的任务
分享在2000p下启动时所有的盘都被共享,请问可能是什么病毒?或者是木马?如何杀除?谢谢。
在2000p下启动时所有的盘都被共享,请问可能是什么病毒?或者是木马?如何杀除?谢谢。
...全文
请发表友善的回复…
发表回复
sadforlove 2003-08-31
- 打赏
- 举报
同意一楼的那位兄弟的说法。很不错。很详细。还请以后多多指教
MSN:wodesyl@msn.com
MSN:wodesyl@msn.com
shamancn 2003-08-30
- 打赏
- 举报
谢谢指教,我会尽快结贴。
zenggao 2003-08-29
- 打赏
- 举报
楼上答得又快又好。。。我才点进来就发现回复人数由0变1啦呵呵。。。
smallrascal 2003-08-29
- 打赏
- 举报
应该是2K默认的,不过不能排除病毒或木马
目前很多网站的服务器采用的操作系统为Windows 2000,笔者发现系统启动运行时,会自动将本地硬盘盘符如c$,d$以及WINNT$设置为默认共享,用NET SHARE 命令查看除了发现上述默认共享目录还可以看到其它两个隐藏共享目录为admin$,ipc$,再用\\本机ip地址试一下,系统会弹出关于ipc$对话框,让你输入密码,如果对方能够猜出密码的话或者非法得到Sam文件,由第三方软件破解获得管理员密码,这样对方通过IPC$以管理员的身份不仅仅可以对Windows 2000默认共享如:c$,d$,admin$进行操作,而且可以任意控制计算机的注册表、服务、计算机管理、计划任务等等……,后果将不堪设想。
如何解决Windows 2000 的共享引起的安全漏洞呢?在这里笔者向大家介绍简单有效的方法。
方法一、修改注册表,具体步骤如下:
1、删除2000启动时没有默认共享c$,d$,WINNT$
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] 下建立一个dword类型数据
2000 server 是 autoshareserver=0; 2000 professional 是 autosharewks=0
2、删除ipc$,admin$的共享
在注册表的自动运行选项里新建一个项目,可以任意改名,然后修改键值为
net share ipc$ /del
或是多新建几个运行项目,分别在每个项目里修改为
net share admin$ /del
附:系统在启动时删除ipc$,admin$共享目录,在WINXP,WINNT也一样建立就行了。
3、禁止管理员从网络登陆
使用NT resouce kit中的工具passprop,执行如下命令:
passprop /adminlockout /complex
方法二、使用 Windows 2000 的管理工具poledit.exe(系统策略配置器),选择 打开注册表 -> 本地计算机 -> Windows NT 网络 -> 共享 -> 将其中的两个选项取消。
其实这种方法还是修改注册表,实际清除过程可以通过创建批处理文件delshare.bat来实现,过程如下:
echo 修改注册表项,修改系统默认共享属性
echo.
echo 生成 delshare.reg 准备修改注册表
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>
c:\delshare.reg
echo“AutoShareWks”=dword:00000000>> c:\delshare.reg
echo “AutoShareServer”=dword:00000000>> c:\delshare.reg
echo 运行 delshare.reg 修改注册表
regedit /s c:\delshare.reg
echo 删除 delshare.reg 临时文件
del c:\delshare.reg
如果在英文 Windows 2000 下使用的 delshare.bat ,清除方法和中文版的相同,只要更改运行的语言环境就可以了。
除了用上述两种方法对注册表操作之外还必须对Windows 2000系统做必要的设置,禁止使用如下不必要的服务:
Alerter(disable)
ClipBook Server (disable)
ComputerBrowser (disable)
DHCPClient (disable)
DirectoryReplicator (disable)
FTP publishing service (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
Network DDE (disable)
Network DDE DSDM (disable)
Network Monitor (disable)
Remote Access Server (disable)
Remote Procedure Call (RPC) locater (disable)
Schedule (disable)
Server (disable)
Simple Services (disable)
Spooler (disable)
TCP/IP Netbios Helper (disable)
Telephone Service (disable)
用上述方法设置系统后,在Windows 2000启动运行后,系统默认共享目录将不复存在,显然,Windows 2000 还存在其它的安全漏洞,本文就不再多谈了,总之在平时工作中,要加强网络安全意识,及早发现并排除系统本身不安全因素。
目前很多网站的服务器采用的操作系统为Windows 2000,笔者发现系统启动运行时,会自动将本地硬盘盘符如c$,d$以及WINNT$设置为默认共享,用NET SHARE 命令查看除了发现上述默认共享目录还可以看到其它两个隐藏共享目录为admin$,ipc$,再用\\本机ip地址试一下,系统会弹出关于ipc$对话框,让你输入密码,如果对方能够猜出密码的话或者非法得到Sam文件,由第三方软件破解获得管理员密码,这样对方通过IPC$以管理员的身份不仅仅可以对Windows 2000默认共享如:c$,d$,admin$进行操作,而且可以任意控制计算机的注册表、服务、计算机管理、计划任务等等……,后果将不堪设想。
如何解决Windows 2000 的共享引起的安全漏洞呢?在这里笔者向大家介绍简单有效的方法。
方法一、修改注册表,具体步骤如下:
1、删除2000启动时没有默认共享c$,d$,WINNT$
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] 下建立一个dword类型数据
2000 server 是 autoshareserver=0; 2000 professional 是 autosharewks=0
2、删除ipc$,admin$的共享
在注册表的自动运行选项里新建一个项目,可以任意改名,然后修改键值为
net share ipc$ /del
或是多新建几个运行项目,分别在每个项目里修改为
net share admin$ /del
附:系统在启动时删除ipc$,admin$共享目录,在WINXP,WINNT也一样建立就行了。
3、禁止管理员从网络登陆
使用NT resouce kit中的工具passprop,执行如下命令:
passprop /adminlockout /complex
方法二、使用 Windows 2000 的管理工具poledit.exe(系统策略配置器),选择 打开注册表 -> 本地计算机 -> Windows NT 网络 -> 共享 -> 将其中的两个选项取消。
其实这种方法还是修改注册表,实际清除过程可以通过创建批处理文件delshare.bat来实现,过程如下:
echo 修改注册表项,修改系统默认共享属性
echo.
echo 生成 delshare.reg 准备修改注册表
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>
c:\delshare.reg
echo“AutoShareWks”=dword:00000000>> c:\delshare.reg
echo “AutoShareServer”=dword:00000000>> c:\delshare.reg
echo 运行 delshare.reg 修改注册表
regedit /s c:\delshare.reg
echo 删除 delshare.reg 临时文件
del c:\delshare.reg
如果在英文 Windows 2000 下使用的 delshare.bat ,清除方法和中文版的相同,只要更改运行的语言环境就可以了。
除了用上述两种方法对注册表操作之外还必须对Windows 2000系统做必要的设置,禁止使用如下不必要的服务:
Alerter(disable)
ClipBook Server (disable)
ComputerBrowser (disable)
DHCPClient (disable)
DirectoryReplicator (disable)
FTP publishing service (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
Network DDE (disable)
Network DDE DSDM (disable)
Network Monitor (disable)
Remote Access Server (disable)
Remote Procedure Call (RPC) locater (disable)
Schedule (disable)
Server (disable)
Simple Services (disable)
Spooler (disable)
TCP/IP Netbios Helper (disable)
Telephone Service (disable)
用上述方法设置系统后,在Windows 2000启动运行后,系统默认共享目录将不复存在,显然,Windows 2000 还存在其它的安全漏洞,本文就不再多谈了,总之在平时工作中,要加强网络安全意识,及早发现并排除系统本身不安全因素。
