深蓝网络

网站建设,程序开发,主机域名,搜索引擎

VPS的端口与安全


VPS的端口设置对服务器的安全非常重要。VPS不象虚拟主机,开几个网站基本就不用关心安全问题。VPS其实和独立服务器在安全维护上是一样重要的。各种权限设置,服务状态都直接关系到主机的安全。其中服务器端口也是重要的一个环节。我给大家介绍一下,前几天我的一台VPS上的一些安全问题与解决过程。

 

前两天在Burst官网后台看到新购入的VPS流量稍有点大,而且都是持续状态,不象正常的起伏较大。进入VPS打开性能监视器,发现Web Serivce流量非常正常。那么肯定有别的连接在使用服务器的网络。怎么查看是谁连接了VPS呢?可以直接用命令行工具来查看

netstat -a -n 

它会列出哪些电脑连接到了你的VPS上,分别是VPS上的IP/端口,对方的计算机IP端口,连接状态等。

也可以使用小工具来查看,有一款使用比较简单的小工具networx,支持中文,大家不熟悉DOS命令的话,可以用它。

 

 

我查了以后发现有大量的电脑和我的VPS建立了3389,445等各种连接。有国内徐州矿大,浙江金华,国外美国,英国,巴西等。大家知道3389是远程桌面使用的端口,那么是不是我的VPS被入侵了呢?查看系统日志无异常;右键 我的电脑 > 管理 > 本地用户与组,经检查没有发现异常用户或新的用户。而我的管理员密码又比较强壮,应该不会有这么多电脑建立了实际连接。所以推断出对方是扫描到我的VPS开放了3389等端口,而进行试连接,并用暴力字典等方式在猜我的VPS管理密码,从而造成了偏大的流量。

 

找到原因就不难解决了,关闭不必要的服务与端口,转移修改要保留的端口。象445,135-139等这些共享文件的就全部关闭。象3389远程桌面;1433数据端口等,必须要用到的那就修改到别的端口上。远程登录telnet可关闭服务。下边是一个关闭和修改端口的一个注册文件(示例用的勿试),大家用自已的参数来替换,端口大家可以随便设置0-65535,当然不能设置为80、21、23等系统服务的端口。数字是十六进制。

Windows Registry Editor Version 5.00

;修改远程桌面端口到45210
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:b09a
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:b09a
;关闭445端口
[HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:0

复制上述代码并粘贴到记事本里,然后另存为XXX.reg文件。双击>修改注册表就可以了。其它端口也可以类推。
修改后你自已登录远程桌面时,在IP后加上端口号就可以了(XX.XX.XX.XX:45210)。

修改和关闭了相关端口后,一些恶意扫描软件会发现这个VPS服务端口是关闭的,就失去了尝试入侵的企图。我VPS服务器的流量恢复了正常,再也没有发现恶意连接。所以关闭和转移服务端口可以防止恶意扫描与入侵。当然VPS端口设置只是服务器整体安全设置的一部分,还有权限设置,用户管理,服务,安全策略等等。以后再和大家一起交流。

 

外一:我尝试反向连接了一些入侵的IP地址,竟然许多IP的端口也是开放的,甚至我可以尝试登录他们的电脑。难道是传说中的肉鸡?:)


上一篇  |  下一篇
发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。