电脑的防黑客措施(防止电脑被黑客攻击的方法)
给一些建议 1、安装杀毒软件还是必要的,要及时更新病毒库,还要装防火墙(防木马、黑客攻击等),定期杀毒,维护好电脑运行安全; 可以腾讯电脑管家保护,“腾讯电脑管家云鉴定”系统还可实现对口传输可执行文件进行风险检测,对可能带木马或病毒的文件进行安全警示甚至拦截。
以上过程皆可脱离电脑管家客户端在云端实现。2、修复漏洞和补丁;打开腾讯电脑管家——工具箱——漏洞修复 3、平时不要上一些不明网站,不要随便下载东西; 4、还要提防随身移动存储设备(如U盘等,最近U盘病毒挺猖獗的); 5、不进不明不网站,不收奇怪邮件。下载完压缩包文件后先进行病毒扫描 6、关闭不必要的端口 7、要是有时间和精力的话,学一些电脑的常用技巧和知识; 最后,我要说的是,你要是平常的确是很小心,但还是中毒的话,那也是没办法的!(用Ghost备份系统是个不错的选择)
1、禁止IPC空连接
Cracker可以运用 net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
2、禁止At命令
Cracker往往给你个木马然后让它运行,这时他就须要 at命令了。打开管理工具-服务,禁用task scheduler服务即可。
3、关上超级终端服务
如果你开了的话,这个漏洞都烂了。
4、关上 SSDP Discover Service服务
这个服务主要用于启动家庭网络设备上的UPnP设备,服务同时会启动5000端口。可能造成DDOS攻击,让CPU运用达到100%,从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS,但这个运用流程中也非常的占用带宽,它会不断的向外界发送数据包,影响网络传输速率,所以还是关了好。
5、关上 Remote Registry服务
看看就知道了,允许远程修改注册表?!
6、禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS配置 -禁用TCP/IP上的NetBIOS。这样Cracker就不能用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
7、关上 DCOM服务
这就是135端口了,除了被用做查询服务外,它还可能引起直接的攻击,关上要领是:在运行里输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
8、把共享文件的权限从“everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户配置成“everyone”组。包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。
9、取消其他不必要的服务
请根据自己须要自行决定,下面给出HTTP/FTP服务器须要最少的服务作为参考:
Event Log
License Logging Service
Windows NTLM Security Support Provider
Remote Procedure Call (RPC) Service
Windows NT Server or Windows NT Workstation
IIS Admin Service
MSDTC
World Wide Web Publishing Service
Protected Storage
10、修改 TTL值
Cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(Linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己修改的:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。
11、账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧!破完了才发觉是个低级账户,看你崩溃不?
12、取消显示最后登录用户
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrent VersionWinlogon:DontDisplayLastUserName把值改为1。
13、删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是如何回事,这是2K为管理而配置的默认共享,必须通过修改注册表的形式取消它:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer
Parameters:AutoShareServer类型是REG_DWORD把值改为0即可。
14、禁用LanManager 身份验证
Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证要领: LanManager (LM) 身份验证;Windows NT(也叫NTLM)身份验证;Windows
电脑防止泄密的常用方法。 一,物理隔离与专机专用 1.互联网物理隔离 国家保密局颁布并于2000年1月1日开始实施的《计算机信息系统国际联网保密管理规定》中要求,涉及国家秘密的电脑信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。凡是涉密电脑,就不应该与互联网相联,换句话说,就是不要在能上网的微机上处理机密文件。 2.专机专用 如果处理涉密文件较多,就应该专门安排微机用于处理机密文件,并且建立单独的机房,限定专人操作,这样不仅可以减少若干可能引起失密的环节,还便于进行防辐射泄密等技术处理。 二,防辐射泄密 1.专用的铜网机房 金属网罩并接上深埋的地线后,能有效地屏蔽掉任何电磁辐射,所以建立专用的铜网屏蔽机房,是一种专业的防电磁辐射泄密措施。 2.干扰发射天线 比较简易的一种手段就是在显示器旁接上一个类似电视室内天线的电磁波发射装置,理论上由干扰天线发射的电磁波可以做到和显示器的辐射在同样的波段上,从而掩盖掉微机信号的辐射。但实际上,每一种CRT显示器的辐射可能是有差别的,所以使用这种干扰天线必须注意两点:一是这种干扰天线本身必须具有较宽的波段范围;二是必须对每一套配套使用的装置进行检测和调试,以使CRT和干扰天线发射的电磁波真正处于干扰状态下。 3.使用液晶显示器 液晶显示器的辐射泄漏要比CRT显示器小得多,现在液晶显示器的价格越来越低,所以可以考虑给有保密要求电脑更换成液晶显示器。 4.慎用无线连接系统 二战时期无线电通讯已经很成熟,并且无线通讯要方便得多,但有线通讯在战场上使用得更为普遍,其中最主要原因还是因为无线电通讯被截获与破译的可能性更大。现在像蓝牙这样的无线连接技术已逐步进入实用阶段,但是在无线连接保密性得到确证以前,处理涉密文件,还是应该慎用无线连接的通讯方式。 三,防网络泄密 1.防磁盘“文件共享”时泄密 单位内部的一些泄密事件,许多是无意之中发生的,既然是带保密性的文件,就不应该把它放置在无关人员也能接触到的地方,所以个人电脑硬盘在“文件共享”时一定要有限制。个人电脑如果需要设置共享,应该要设置访问密码限制,网络上有些病毒就专门攻击无密码限制的共享硬盘。在一个单位内部设立公共的服务器共享区是可取的,普通文件的交换可以在公共区域进行,这样个人的微机上甚至可以不设置磁盘共享。个别稍微带有保密性的文件可以通过个人邮件传送,而保密性强的文件,则需通过移动存贮介质交换,不应在网上传送。 2.谨防“特洛伊木马” 比较有名的“特洛伊木马”类的程序有NetbusPro、BackOrifice、BO、Pwlview、Netspy等,这些程序都属于远程操控程序一类。据文章介绍,NetbusPro甚至能启动连在你电脑上的麦克风或摄像机。所以,如果你的电脑被NetbusPro感染的话,那些在遥远一方的黑客,甚至可以看见你的容貌、听见你说话的声音。 防止这些黑客或病毒程序,应注意以下几点:一是不要轻易安装一些来历不明的程序;二是不要打开一些可能有问题的文件(特别是陌生人的电子邮件附件);三是使用并及时更新杀毒软件;四是留意自己微机的“表现”,如运行速度和上网速度的变化,以便及时觉察到不速之客的混入。 3.“防虫”、“防蛀” “防虫”是指防网络蠕虫这样的病毒。或许将文件保存在D盘的目录下更好,而不放在像“C\MyDocuments”这样的典型目录中,这样处理,最起码让“蠕虫”搜索和寻找起来困难一些。
1.机房增加防御,比如硬防,软放 2.服务器上面安装防火墙,补丁全部打上。 做好这2条保证不会被黑!
使用防火墙技术,建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问,作为网络软件的补充,共同建立网络信息系统的对外安全屏障。目前全球联入Internet的电脑中约有1/3是处于防火墙保护之下,主要目的就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
使用安全扫描工具发现黑客。经常使用“网威”等安全检测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具,用于发现安全漏洞及薄弱环节。当网络或系统被黑客攻击时,可用该软件及时发现黑客入侵的迹象,进行处理。
使用有效的监控手段抓住入侵者。经常使用“网威”等监控工具对网络和系统的运行情况进行实时监控,用于发现黑客或入侵者的不良企图及越权使用,及时进行相关处理(如跟踪分析、反攻击等),防范于未然。
时常备份系统,若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切,所以系统管理员要定期地备份文件系统,以便在非常情况下(如系统瘫痪或受到黑客的攻击破坏时)能及时修复系统,将损失减少到最低。
加强防范意识,防止攻击。加强管理员和系统用户的安全防范意识,可大大提高网络、系统的安全性能,更有效地防止黑客的攻击破坏。
黑客入侵的手法包括:瞒天过海;趁火打劫;无中生有;暗渡陈仓;舌里藏刀;顺手牵羊;供尸还魂;调虎离山;抛砖引玉;湿水摸鱼;远交近攻;偷梁换柱;反客为主。
黑客常有连环计,防不胜防,不可不小心。
1、瞒天过海,数据驱动攻击当有些表面看来无害的特殊程序在被发送或复制到网络主机上并被执行发起攻击时,就会发生数据驱动攻击。例如:一种数据驱动的攻击可以造成一台主机修改与网络安全有关的文件,从而使黑客下一次更容易入侵该系统。
2、趁火打劫,系统文件非法利用UNIX系统可执行文件的目录,如/ bin/who可由所有的用户进行读访问。有些用户可以从可执行文件中得到其版本号,从而结合已公布的资料知道系统会具有什么样的漏洞。如通过Telnet指令操行就可以知道Sendmail的版本号。禁止对可执文件的访问虽不能防止黑客对它们的攻击,但至少可以使这种攻击变得更困难。还有一些弱点是由配置文件、访问控制文件和缺省初始化文件产生的。最出名一个例子是:用来安装SunOS Version 4的软件,它创建了一个/rhosts文件,这个文件允许局域网(因特网)上的任何人,从任何地方取得对该主机的超级用户特权。当然,最初这个文件的设置是为了从网上方便地进行安装,而不需超级用户的允许和检查。智者千虑,必有一失,操作系统设计的漏洞为黑客开户了后门,针对WIN95/WINNT一系列具体攻击就是很好的实例。
3、无中生有,伪造信息攻击通过发送伪造的路由信息,构造系统源主机和目标主机的虚假路径,从而使流向目标主机的数据包均经过攻击者的系统主机。这样就给人提供敏感的信息和有用的密码。
4、暗渡陈仓,针对信息协议弱点攻击IP地址的源路径选项允许IP数据包自己选择一条通往系统目的主机的路径。设想攻击者试图与防火墙后面的一个不可到达主机A连接。他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径被改变,并发送到内部网上,报文就这样到达了不可到达的主机。
不要使用MD5,SHA1,SHA256 等加盐值保存密码,不安全.使用bcrypt算法
用户的登录密码,是很重要的一个安全环节。 如果明文保存在数据库,一旦黑客入侵或是内部员工盗窃,用户密码就会泄漏。 国内外大网站都发生过因黑客或是内部员工导致用户数据的泄漏问题,用户密码一旦泄漏对于电商网站或是支付网站的影响是难于估量的。
为了保护用户密码,早期人们使用MD5算法把密码加密后保存,通常计算MD5值时会加一个”盐值“(即一个固定的密串),这个盐值可能是共用的,也可能是一个用户一个盐值。
MD5(密码+盐值),这样形式的密码储存方案在早期基本上是密码存储的一个通行标准,国内多数网站(包括大型电商和支付网站)早期都采用的是这个办法,如果没有更新的话,现在很多网站依旧是这个方案。
这样的方案什么不对? 1,对于黑客入侵或是内部员工,能拿到用户数据的人,很容易就拿到盐值 2,虽然黑客不能反解密码,密码通常有一定的规则,诸如大小写数字六位数以上等,黑客可通过排列组合一个一个的试,暴力破解,因为MD5值的计算速度很快,对于六位数密码,很容易攻克。 注意:这个暴力破解是
离线运行
的,在线的暴力破解很容易阻挡。 被攻击的网站没有感觉,如果用比特币挖矿的矿机,这样的破解轻而易举,没挑战。你会说,MD5不行,SHA1也被谷歌破解了,SHA256 密码加盐值这样可靠了吧? SHA256 密码加盐值也不安全。 因为,MD5,SHA1,SHA256就不是用来保存密码用的, 是用来校验数据完整性用的,三个算法的计算速度都很快,试想一下,校验一个4G的ISO镜像文件,必须要有高效的计算速度。
因为算法效率高,速度快,也就降低了暴力破解的难度。
正确的做法是使用bcrypt算法,bcrypt算法的优点是计算速度慢,没错计算速度慢, 还可以通过参数调节速度,要多慢有多慢。
普通的电脑每秒可运行数万次SHA256计算,bcypt算法通过参数设置可以调整为计算一次耗时1秒。 这样大幅提高了暴力破解的门槛,增强了安全性。
这里有个比特币矿机配置,供参考, 以便提高安全意识: 型号:HashFast Sierra Batch 2 价格:7080美元 功率: 780瓦 性能: 1200 GH/s (每秒可运行1.2万亿次SHA256计算)
一般网站建设之后的话,没有流量及PR值一般比较安全,一般网站权重大于等于2就会引来很多攻击与鸡翅,一旦可能出现的这几种情况居多,网站被挂木马,网站被黑,网站被攻击这几种情况。
防挂马方法:
1、建议用户通过ftp来上传、维护网页,不经常使用尽量关闭尽量ftp端口,不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
网站防攻击方法:
1、确保服务器的系统文件是最新的版本,并及时更新系统补丁。
2、关闭不必要的服务。
3、限制同时打开的SYN半连接数目。
4、缩短SYN半连接的time out 时间。
5、正确设置防火墙 禁止对主机的非开放服务的访问 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可 能遭到了攻击。
7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。
属于商务网站的站友且没有大量精力保障与维护网站安全的,尽量通过接入CDN、高防IP、防火墙等进行网站安全维护,本人没有多余的钱来开通CDN、高防IP及阿里云的云骑士等产品,所以采用宝塔商业授权版的防火墙。对于低级攻击一般是可以防护德住的。
@卢松松博客
黑客都是使用哪些方法入侵我们电脑的?“知己知彼,百战不殆”。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的,我们更应该了解一些常见的黑客入侵手法,针对不同的方法采取不同的措施,做到有的放矢。
1、木马入侵木马也许是广大电脑爱好者最深恶痛绝的东东了,相信不少朋友都受到过它的骚扰。随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用。
2、 ipc$共享入侵。微软在win2000,xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。
3、iis漏洞入侵。由于宽带越来越普及,给自己的win2000或是xp装上简单易学的iis,搭建一个不定时开放的ftp或是web站点,相信是不少电脑爱好者所向 往的,而且应该也已经有很多人这样做了。但是iis层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击。
4、网页恶意代码入侵。在我们浏览网页的时候不可避免的会遇到一些不正规的网站,它们经常会擅自修改浏览者的注册表,其直接体现便是修改IE的默认主页,锁定注册表,修改鼠标右键菜单等等。
删除浏览记录,才不会留下痕迹。
0 0 0 0 0 0 
0 
0 0 0 