常见端口关闭

常见端口关闭

113端口木马的清除（仅适用于windows系统）：

这是一个基于irc聊天室控制的木马程序。

1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

2.使用fport命令察看出是哪个程序在监听113端口

fport工具下载

例如我们用fport看到如下结果：

Pid Process Port Proto Path

392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为

c:\winnt\system32下。

3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，

并使用管理器结束该进程。

4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，

并将相关的键值全部删掉。

5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如

rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据

木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与

监听113端口的木马程序有关的其他程序）

6.重新启动机器。

3389端口的关闭：

首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先

确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。 win2000关闭的方法：

win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，

选中属性选项将启动类型改成手动，并停止该服务。

win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services

服务项，选中属性选项将启动类型改成手动，并停止该服务。

winxp关闭的方法：

在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭：

首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能

算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服

务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：

请在开始-->运行中输入cmd(98以下为command),然后cd

C:\winnt\system32(你的系统

安装目录），输入r_server.exe /stop后按回车。

然后在输入r_server /uninstall /silence

到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件

5800，5900端口：

1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\

explorer.exe)

2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新

运行c:\winnt\explorer.exe)

3.删除C:\winnt\fonts\中的explorer.exe程序。

4.删除注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的

Explorer项。

5.重新启动机器。

6129端口的关闭：

首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是

一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务

是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：

选择开始-->设置-->控制面板-->管理工具-->服务

找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型

改成禁用后

停止该服务。

到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。

到注册表内将

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

1029端口和20168端口：

这两个端口是lovgate蠕虫所开放的后门端口。

蠕虫相关信息请参见：Lovgate蠕虫

你可以下载专杀工具：FixLGate.exe

使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。

45576端口：

这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带

来额外的流量）

关闭代理软件：

1.请先使用fport察看出该代理软件所在的位置

2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。

3.到该程序所在目录下将该程序删除。

原作者：moyi

第二篇：常用端口命令以及关闭方法

常用端口命令以及关闭方法

一、常用端口及其分类

电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分

为以下两大类:

1.系统保留端口(从0到1023)

这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25

对应着SMTP、110对应着POP3等。

2.动态端口(从1024到65535)

当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端

口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。

二、如何查看本机开放了哪些端口

在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有

哪些电脑正在与本机连接，可以使用以下两种方法。

1.利用netstat命令

Windows提供了netstat命令，能够显示当前的 TCP/IP 网络连接情况，注意:只有安装了TCP/IP

协议，才能使用netstat命令。

操作方法:单击“开始→程序→附件→命令提示符”，进入DOS窗口，输入命令 netstat -na 回车，于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号，Foreign Address是远程计算机IP地址和端口号，State表明当前TCP的连接状态，

LISTENING是监听状态，表明本机正在打开135端口监听，等待远程电脑的连接。

如果你在DOS窗口中输入了netstat -nab命令，还将显示每个连接都是由哪些程序创建的。本机在135端口监听，就是由svchost.exe程序创建的，该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改

时间，如果发现异常，就可能是中了木马。

2.使用端口监视类软件

与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等，推荐你上网时启动Tcpview，

密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全

三、关闭本机不用的端口

默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，

以及远程服务访问端口3389。关闭的方法是:

①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下

的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。

②关闭UDP123端口:单击“开始→设置→控制面板”，双击“管理工具→服务”，停止

Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。

③关闭UDP1900端口:在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service

服务即可。关闭这个端口，可以防范DDoS攻击。

④其他端口:你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地

安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。

四、重定向本机默认端口，保护系统安全

如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这

样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到

另一个端口(例如1234)，方法是:

1.在本机上(服务器端)修改

定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

Server\Wds\rdpwd\Tds\tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

Server\WinStations\RDP-Tcp]

2.在客户端上修改

依次单击“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的“另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后，直接双击这个.rdp 文件即可连接到服务器的这个自定义

端口了。