| 上一篇文章 :: 下一篇文章 |
| 發表人 |
內容 |
kbkuang
一級
註冊時間: 2004-10-17
文章: 5
來自: 中華民國
|
 發表於: 星期日 十月 17, 2004 2:01 am 文章標題: 雷電MAIL 常當掉 |
 |
|
 各位大大好:
最近我架的雷電MAIL,常遭受大陸駭客攻擊而且常常不明原因當掉,現已經把駭客擋住了,但仍然不明原因當掉,這跟防火牆有沒有關係?煩請各位大大指教...謝謝。 |
|
| 回頂端 |
|
 |
erioru99
四段
註冊時間: 2004-09-22
文章: 95
來自: 中華民國
|
| 發表於: 星期日 十月 17, 2004 9:29 pm 文章標題: |
|
|
建議你使用netstat -a -n檢查一下連線狀態(在命令提示字元)
例如我的主機port21(FTP)是公司修改網頁專用
也是查出一堆不明ip想連進來,所以設定限制ip連線
另外,以下資料提供你參考,因為我的主機不與區網直接連線,用這個方法關了port139&445.
(忘記從哪找到,轉載文件)
NetBIOS 是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,
預設包括 IPC$, C$, Admin$ share等• 基本上這是一個非常方便的資源,但由於它可以遠端連線存取,
我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下,我們甚至根本不需要這種服務存在!
所以,我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉 (以下適用給Windows 2000, XP使用者):
這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成,如果您對修改Registry 沒有把握或不瞭解,
建議您先將資料backup,必免無法修復的意外發生•
【Port 139】關閉NetBIOS
在Regedit.exe 裡,在HKEY_LOCAL_MACHINE打開:
SYSTEM\CurrentControlSet\Control\LSA
裡頭會有一個名稱叫:
RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果: 匿名限制)
前往控制台 -> 系統管理工具 -> 服務:
1. 停止 TCP/IP NetBIOS Helper 服務,並修改成手動
2. 停止 NetBIOS Interface,如果您找不到這一項,您可至 DOS 停止:
net sop netbios
(效果:停止NetBIOS運作)
再開啟regedit.exe ,在HKEY_LOCAL_MACHINE展開:
SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
將名稱為AutoShareServer或AutoShareWks的DWORD值改為: 0
(效果:停止自動分享)
在系統管理工具,這一次開啟電腦管理,把所有您在共用資料夾的資源全部都移除
(效果:停止分享資源)
【Port 445】關閉SMB Session
當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message Block)• 如果這一個端口是開啟的,那麼遠端使用者就有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain... 等等• 所以,建議您關閉SMB Session:
再開啟regedit.exe,在HKEY_LOCAL_MACHINE展開:
System\CurrentControlSet\Services\NetBT\Parameters
裡頭會有一個名稱叫做:TransportBindName
把這一個名稱的值清空
這樣子,Windows下一次就不會再自動開啟Port 445了•
【完成最後動作】重新開機
最後,建議您馬上重新開機讓所有剛修改的設定生效• 等您重新登入Windows後,開啟DOS,輸入:
netstat -a -n
您會發現 Port 139 及445 消失了•(Good news ^_^)
_________________
網域:royaldragon.com.tw
P3-866-512mbRAM-SCSI18G
Windows2000serverSP4+啟用內建的DNS
雷電MailD1910商業版+ANTIVIRUS7.5企業版
中華電信Adsl 3M/640K 固3IP |
|
| 回頂端 |
|
|
kbkuang
一級
註冊時間: 2004-10-17
文章: 5
來自: 中華民國
|
| 發表於: 星期日 十月 17, 2004 10:28 pm 文章標題: 謝謝您 |
|
|
先這樣試試看,有問題再度請教。
再一次感謝您 |
|
| 回頂端 |
|
|
慧慈
一級
註冊時間: 2003-11-07
文章: 38
來自: 台灣 , 中華民國
|
| 發表於: 星期一 十月 18, 2004 5:43 am 文章標題: |
|
|
| erioru99 寫到: |
NetBIOS 是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,
預設包括 IPC$, C$, Admin$ share等• 基本上這是一個非常方便的資源,但由於它可以遠端連線存取,
我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下,我們甚至根本不需要這種服務存在!
所以,我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉 (以下適用給Windows 2000, XP使用者):
這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成,如果您對修改Registry 沒有把握或不瞭解,
建議您先將資料backup,必免無法修復的意外發生•
|
小女子不才
這個問題我也曾考慮過
但是顧及區域網路內的資源分享問題
遲遲不敢把NetBIOS協定拿掉
可否只要TCP/IP 即可做區域網路內的資源分享呢?
曾經聽說 IIS 加 NetBIOS
可以直接從外部網路看到伺服器內的檔案
傳言是否屬實? |
|
| 回頂端 |
|
|
erioru99
四段
註冊時間: 2004-09-22
文章: 95
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 11:05 am 文章標題: |
|
|
老男子不才
這個問題我也曾考慮過
但是顧及區域網路內的安全防護問題
早早就想把NetBIOS協定拿掉
仔細的想過以後,再看過我所建構的網路之後,覺得應該可以關NetBIOS.
我的主機一共6部
只有MailD與GateLock有實體IP(已關port139&445及不必要的服務,但未用防火牆).
AD,SQL,ERP以及2部傳真主機都在GateLock之內
其實這樣設有一個大缺點,就是收信會佔下載頻寬,但為了確保區網安全(其實是對GateLock還不會自由運用...  ).
但是就算網頁及郵件伺服器都被入侵,區網也不會受影響.(網頁另有備份,郵件就無所謂了... 公司資料沒事就好)
其中只有2部傳真主機有裝NetBIOS(因為我列印分享使用IPX,跟著自動裝的)
clinet端都沒裝NetBIOS(Win98),WinXP也是因為IPX,跟著自動裝的.
我個人也是IIS使用者
MailD與微軟的IIS+FTD+DNS裝在一起,倒是沒發生過看的到資料夾清單的情形
(IIS內容設唯讀,FTP限公司所屬IP才可連線)
不過若設定不當,或許就會變成傳言那樣...
若有說錯之處,還望先進指教.
_________________
網域:royaldragon.com.tw
P3-866-512mbRAM-SCSI18G
Windows2000serverSP4+啟用內建的DNS
雷電MailD1910商業版+ANTIVIRUS7.5企業版
中華電信Adsl 3M/640K 固3IP
erioru99 在 星期一 十月 18, 2004 1:11 pm 作了最後編輯, 共編輯過 4 次 |
|
| 回頂端 |
|
|
kbkuang
一級
註冊時間: 2004-10-17
文章: 5
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 11:15 am 文章標題: 最近發現一個問題 |
|
|
| 如果server有裝symantec 的防毒軟體,一旦發現有病毒侵入時,隔離成功之後,雷電就會自動關閉...為什麼會如此..????? |
|
| 回頂端 |
|
|
erioru99
四段
註冊時間: 2004-09-22
文章: 95
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 11:31 am 文章標題: |
|
|
照說不該會如此
不過還是請你提供作業系統及防毒軟體版本作參考
另外確定是否有病毒或木馬潛伏
_________________
網域:royaldragon.com.tw
P3-866-512mbRAM-SCSI18G
Windows2000serverSP4+啟用內建的DNS
雷電MailD1910商業版+ANTIVIRUS7.5企業版
中華電信Adsl 3M/640K 固3IP |
|
| 回頂端 |
|
|
kbkuang
一級
註冊時間: 2004-10-17
文章: 5
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 12:06 pm 文章標題: 我使用的系統 |
|
|
您好:
我用的是win2000 server,防毒軟體是symantec scs1.0。
|
|
| 回頂端 |
|
|
erioru99
四段
註冊時間: 2004-09-22
文章: 95
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 12:41 pm 文章標題: |
|
|
那基本上就先排除你的主機中毒可能性.
你的Win2000server有啟用AD或連結到AD主機嗎???
若沒有的話,建議別裝MailD XP版,裝一般版就好.
我的Win2000server(不使用AD)曾被裝XP版(不是我裝的 )就一直自動關閉.
改用一般版就沒這種情形了... 
個人經驗談僅供參考,有錯煩請糾正.
_________________
網域:royaldragon.com.tw
P3-866-512mbRAM-SCSI18G
Windows2000serverSP4+啟用內建的DNS
雷電MailD1910商業版+ANTIVIRUS7.5企業版
中華電信Adsl 3M/640K 固3IP |
|
| 回頂端 |
|
|
慧慈
一級
註冊時間: 2003-11-07
文章: 38
來自: 台灣 , 中華民國
|
| 發表於: 星期一 十月 18, 2004 3:01 pm 文章標題: |
|
|
可是,為什麼我拿掉
區域網路內的電腦就不能做資源分享了呢???
是否有其他的方法可以解決呢???
意即,不掛NetBIOS 也可做資源分享呢???
(我掛IPX,主要也只是用在列表分享)
謝謝分享。 |
|
| 回頂端 |
|
|
erioru99
四段
註冊時間: 2004-09-22
文章: 95
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 3:37 pm 文章標題: |
|
|
假定TCP/IP預設已安裝
主機=Win2000server(Server2003我只拿來收傳真,還沒用來當網域控制站,所以不太確定是不是一樣...)設定固定IP並建立網域(或工作群組)名稱
並已輸入使用者帳號......
Cinet端Win98
1)確定組態裡有Clinet for Microsoft Networks
2)主網路選Clinet for Microsoft Networks
3)Clinet for Microsoft Networks的內容裡登入Windows NT 網域打勾,下面的空格輸入網域名稱
4)識別資料的工作群組也輸入相同的網域名稱
5)如果在網路上的芳鄰看不到其他電腦,可暫時設定一個分享資料夾
Cinet端WinXP(2000與XP大致相同)
1)確定組態裡有Clinet for Microsoft Networks
2)在控制台\系統\電腦名稱最下方的變更裡輸入電腦名稱(不建議使用中文)
3)在控制台\系統\電腦名稱最下方的變更裡的下方網域輸入網域名稱(專業版)
家用版只能用工作群組
應該就是這樣了......有疏漏錯訛煩請指正
_________________
網域:royaldragon.com.tw
P3-866-512mbRAM-SCSI18G
Windows2000serverSP4+啟用內建的DNS
雷電MailD1910商業版+ANTIVIRUS7.5企業版
中華電信Adsl 3M/640K 固3IP |
|
| 回頂端 |
|
|
kbkuang
一級
註冊時間: 2004-10-17
文章: 5
來自: 中華民國
|
| 發表於: 星期一 十月 18, 2004 4:03 pm 文章標題: 現在的情形 |
|
|
以目前的情形是:我有架AD,並且用DNS架起MAIL SERVER,依照目 前的情形是還沒有掛掉,有可能是SYMANTEC攔截病毒
時,把雷電的SERVICE的服務一併關閉,我再觀察一陣子,再跟
各大大分享了。 |
|
| 回頂端 |
|
|
|
