如何打开被封的端口？

1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”（如果是拨号上网用户，选择“我 的连接”图标），弹出“本地连接状态”对话框。　2、点击[属性]按钮，弹出“本地连接 属性”，选择“此连接使用下列项目”中的“Internet协议（TCP/IP）”，然后点击[属性]按钮。　3、在弹出的“Internet协议（TCP/IP）”对话框中点击[高级]按钮。在弹出的“高级TCP/IP 设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。　4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上。　　这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。　添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。　最后，提醒个人用户，如果您只上网浏览的话，可以不添加任何端口。但是要利用一些网络联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的网络工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP /IP“里把此端口打开

要看用的谁家的服务器，自己可以联系一下客服。腾讯的服务器遇到这种情况，一般是这个机器对外攻击行为 需要您联系下企业QQ在线售后客服 说明下问题的情况 需要将服务器上的违规文件做删除处理之后 才可以申请解封

IT行业发展到现在，安全问题已经变得至关重要，从最近的“棱镜门”事件中，折射出了很多安全问题，信息安全问题已变得刻不容缓，而做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。

一次Linux被入侵后的分析

下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程，rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。

1、受攻击现象

这是一台客户的门户网站服务器，托管在电信机房，客户接到电信的通知：由于此服务器持续对外发送数据包，导致100M带宽耗尽，于是电信就切断了此服务器的网络。此服务器是Centos55版本，对外开放了80、22端口。

从客户那里了解到，网站的访问量并不大，所以带宽占用也不会太高，而耗尽100M的带宽是绝对不可能的，那么极有可能是服务器遭受了流量攻击，于是登录服务器做详细的检测。

2、初步分析

在电信人员的配合下通过交换机对该服务器的网络流量进行了检测，发现该主机确实存在对外80端口的扫描流量，于是登录系统通过“netstat –an”命令对系统开启的端口进行检查，可奇怪的是，没有发现任何与80端口相关的网络连接。接着使用“ps –ef”、“top”等命令也没有发现任何可疑的进程。于是怀疑系统是否被植入了rootkit。

为了证明系统是否被植入了rootkit，我们将网站服务器下的ps、top等命令与之前备份的同版本可信操作系统命令做了md5sum校验，结果发现网站服务器下的这两个命令确实被修改过，由此断定，此服务器已经被入侵并且安装了rootkit级别的后门程序。

3、断网分析系统

由于服务器不停向外发包，因此，首先要做的就是将此服务器断开网络，然后分析系统日志，寻找攻击源。但是系统命令已经被替换掉了，如果继续在该系统上执行操作将变得不可信，这里可以通过两种方法来避免这种情况，第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析，另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径，然后在执行命令的时候指定此命令的完整路径即可，这里采用第二种方法。

我们首先查看了系统的登录日志，查看是否有可疑登录信息，执行如下命令：

more /var/log/secure |grep Accepted

通过对命令输出的查看，有一条日志引起了我们的怀疑：

Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 6217163186 port 53349 ssh2

这条日志显示在10月3号的凌晨3点10分，有个mail帐号从6217163186这个IP成功登录了系统，mail是系统的内置帐号，默认情况下是无法执行登录操作的，而6217163186这个IP，经过查证，是来自爱尔兰的一个地址。从mail帐号登录的时间来看，早于此网站服务器遭受攻击的时间。

接着查看一下系统密码文件/etc/shadow，又发现可疑信息：

mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::

很明显，mail帐号已经被设置了密码，并且被修改为可远程登录，之所以使用mail帐号，猜想可能是因为入侵者想留下一个隐蔽的帐号，以方便日后再次登录系统。

然后继续查看其他系统日志，如/var/log/messages、/var/log/wtmp均为空文件，可见，入侵者已经清理了系统日志文件，至于为何没有清空/var/log/secure文件，就不得而知了。

4、寻找攻击源

到目前为止，我们所知道的情况是，有个mail帐号曾经登录过系统，但是为何会导致此网站服务器持续对外发送数据包呢？必须要找到对应的攻击源，通过替换到此服务器上的ps命令查看系统目前运行的进程，又发现了新的可疑：

nobody   22765     1  6 Sep29        4-00:11:58 t

这个t程序是什么呢，继续执行top命令，结果如下：

PID USER    PR  NI  VIRT  RES  SHR  S  %CPU %MEM    TIME+  COMMAND

22765 nobody  15  0   1740m 1362m 1228  S  983    915      2892:19   t

从输出可知，这个t程序已经运行了4天左右，运行这个程序的是nobody用户，并且这个t程序消耗了大量的内存和cpu，这也是之前客户反映的网站服务器异常缓慢的原因，从这个输出，我们得到了t程序的进程PID为22765，接下来根据PID查找下执行程序的路径在哪里：

进入内存目录，查看对应PID目录下exe文件的信息：

[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe

lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe - /var/tmp/…/apa/t

这样就找到了进程对应的完整程序执行路径，这个路径很隐蔽，由于/var/tmp目录默认情况下任何用户可读性，而入侵者就是利用这个漏洞在/var/tmp目录下创建了一个“…”的目录，而在这个目录下隐藏着攻击的程序源，进入/var/tmp/…/目录，发现了一些列入侵者放置的rootkit文件，列表如下：

[root@webserver ]#/mnt/bin/ls -al

drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa

-rw-r--r-- 1 nobody nobody     0 Sep 29 22:09 apatgz

drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca

drwxr-xr-x 2 nobody nobody 4096  Sep 29 22:09 haha

-rw-r--r-- 1 nobody nobody      0Sep 29 22:10 kktargz-

rwxr-xr-x 1 nobody nobody      0 Sep 29 22:10 login

-rw-r--r-- 1 nobody nobody      0 Sep 29 22:10 logintgz

-rwxr-xr-x 1 nobody nobody      0 Sep 29 22:10 z

通过对这些文件的分析，基本判断这就是我们要找的程序攻击源，其中：

1）、z程序是用来清除系统日志等相关信息的，例如执行：

/z 6217163186

这条命令执行后，系统中所有与6217163186有关的日志将全部被清除掉。

2）、在apa目录下有个后门程序t，这个就是之前在系统中看到的，运行此程序后，此程序会自动去读apa目录下的ip这个文件，而ip这个文件记录了各种ip地址信息，猜想这个t程序应该是去扫描ip文件中记录的所有ip信息，进而获取远程主机的权限，可见这个网站服务器已经是入侵者的一个肉鸡了。

3）、haha目录里面放置的就是用来替换系统相关命令的程序，也就是这个目录下的程序使我们无法看到操作系统的异常情况。

4）、login程序就是用来替换系统登录程序的木马程序，此程序还可以记录登录帐号和密码。

5、查找攻击原因

到这里为止，服务器上遭受的攻击已经基本清晰了，但是入侵者是如何侵入这台服务器的呢？这个问题很重要，一定要找到入侵的根源，才能从根本上封堵漏洞。

为了弄清楚入侵者是如何进入服务器的，需要了解下此服务器的软件环境，这台服务器是一个基于java的web服务器，安装的软件有apache2063、tomcat55，apache和tomcat之间通过mod_jk模块进行集成，apache对外开放80端口，由于tomcat没有对外开放端口，所以将问题集中到apache上面。

通过查看apache的配置发现，apache仅仅处理些静态资源请求，而网页也以静态页面居多，所以通过网页方式入侵系统可能性不大，既然漏洞可能来自于apache，那么尝试查看apache日志，也许能发现一些可疑的访问痕迹，通过查看accesslog文件，发现了如下信息：

6217163186 - - [29/Sep/2013:22:17:06 +0800] "GET http://wwwxxxcom/cgi-bin/awstatsplconfigdir=|echo;echo;ps+-aux%00 HTTP/10" 200 12333 "-" "Mozilla/50 (Windows; U; Windows NT 51; pt-BR; rv:181) Gecko/20121010 Firefox/20"

6217163186 - - [29/Sep/213:22:17:35 +0800] "GET http://wwwxxxcom/cgi-bin/awstatsplconfigdir=|echo;echo;cd+/var/tmp//haha;ls+-a%00 HTTP/10" 200 1626 "-" "Mozilla/50 (Windows; U; Windows NT 51; pt-BR; rv:181) Gecko/20121010 Firefox/20"

至此，发现了漏洞的根源，原来是awstatspl脚本中configdir的一个漏洞，通过了解此服务器的应用，客户确实是通过一个Awstats的开源插件来做网页访问统计，通过这个漏洞，攻击者可以直接在浏览器上操作服务器，例如查看进程、创建目录等。通过上面第二条日志可以看出，攻击者正常浏览器执行切换到/var/tmp//haha目录的操作。

这个脚本漏洞挺可怕的，不过在Awstats官网也早已给出了修补的方法，对于这个漏洞，修复方法很简单，打开awstatspl文件，找到如下信息：

if ($QueryString =~ /configdir=([^]+)/i)

{

$DirConfig=DecodeEncodedString("$1");

}

修改为如下即可：

if ($QueryString =~ /configdir=([^]+)/i)

{

$DirConfig=DecodeEncodedString("$1");

$DirConfig=~tr/a-z0-9_/-////a-z0-9_/-////cd;

}

6、揭开谜团

通过上面逐步分析和介绍，此服务遭受入侵的原因和过程已经非常清楚了，大致过程如下：

（1）攻击者通过Awstats脚本awstatspl文件的漏洞进入了系统，在/var/tmp目录下创建了隐藏目录，然后将rootkit后门文件传到这个路径下。

（2）攻击者通过植入后门程序，获取了系统超级用户权限，进而控制了这台服务器，通过这台服务器向外发包。

（3）攻击者的IP地址6217163186可能是通过代理过来的，也可能是攻击者控制的其他肉鸡服务器。

（4）攻击者为了永久控制这台机器，修改了系统默认帐号mail的信息，将mail帐号变为可登录，并且设置了mail帐号的密码。

（5）攻击者在完成攻击后，通过后门程序自动清理了系统访问日志，毁灭了证据。

通过对这个入侵过程的分析，发现入侵者的手段还是非常简单和普遍的，虽然入侵者删除了系统的一些日志，但是还是留下了很多可查的踪迹，其实还可以查看用户下的bash_history文件，这个文件是用户操作命令的历史记录。

7、如何恢复网站

由于系统已经文件被更改和替换，此系统已经变得完全不可信，因此建议备份网站数据，重新安装系统，基本步骤如下：

（1）安装稳定版本的操作系统，删除系统默认的并且不需要的用户。

（2）系统登录方式改为公钥认证方式，避开密码认证的缺陷。

（3）安装更高版本的apache和最新稳定版本的Awstats程序。

（4）使用Linux下的Tcp_Wrappers防火墙，限制ssh登录的源地址。

天互数据 为您解答，希望能帮到你

可能的原因：

一、内存错误

二、某个定时的服务引起死锁

三、病毒残留或者黑客攻击

四、诺顿的文件检查功能

检查及处理过程：

一、由于这是第一次出现类似重启，先不考虑硬件故障。 但内存错误仍有另外一个可能性就是对磁盘上的虚拟内存访问出错。先检查虚拟内存所在磁盘，未发现错误。但磁盘中有比较多的文件碎片，考虑到内存文件过于分散有可能会引起偶尔的读错误。所以在凌晨1时左右进行一次全盘的文件碎片整理。

二、根据原因代码，网络上有关于定时服务引起文件死锁的记录，而查询登录日志，离重启最近的访问来自于另一台服务器B，加上出现故障时间与整点比较接近，有可能与某些系统服务有关，所以，将B中的DNS、DHCP等服务关闭，因为这些服务会与故障服务器通讯同步，或者进行某种查询。更进一步地，将服务器和B服务器上的文件跨网络定时复制备份等功能删除。

三、从微软的网站找到有关病毒也会引发类似故障的说明（相关网址），按说明查询后排除可能性，然后，再检查可疑的设备驱动，也未发现任何可疑之处。另外，通过查询防火墙日志，在19：03前也未发现有异常的攻击事件。

四、通过网络上上报的事故报告（相关网址）中提到Symantec的版本有关，在Symantec的技术支持网站看到相类似的报告。考虑到离最近的故障时间登录者是B服务器，而我们的B服务器上恰恰安装了Symantec的100版，怀疑与故障服务器上的90版在升级病毒库时产生了冲突，所以将B上的Symantec杀毒软件删除，然后安装了一个客户端，由故障服务器统一管理。

进一步分析

用WinDbg对系统崩溃时的内存Dump文件分析，发现系统重启时的直接引发文件为RapDrvsys。

这个文件为BlackICE的系统文件，它包括了监视应用程序的变化的相关模块，可参见BlackICE的在线说明

检查RapDrvsys，文件没有被改变的迹象，可排除被黑客和病毒修改文件的可能性。

对Dump文件进行调试，找到RapDrvsys出错时的堆栈情况，具体内容如下：

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx" "0x%08lx" "%s"

FAULTING_IP:

RapDrv+9785

f535e785 894104 mov dword ptr [ecx+4],eax

TRAP_FRAME: f4c0bb54 -- (trap fffffffff4c0bb54)

ErrCode = 00000002

eax=858b8b4c ebx=00000000 ecx=00000000 edx=00000000 esi=858b5000 edi=84e2660c

eip=f535e785 esp=f4c0bbc8 ebp=f4c0bbdc iopl=0 nv up ei pl zr na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246

RapDrv+0x9785:

f535e785 894104 mov dword ptr [ecx+4],eax ds:0023:00000004=

Resetting default scope

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

PROCESS_NAME: blackiceexe

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from 8085b4b3 to 8087b6be

STACK_TEXT:

f4c0b720 8085b4b3 0000008e c0000005 f535e785 nt!KeBugCheckEx+0x1b

f4c0bae4 808357a4 f4c0bb00 00000000 f4c0bb54 nt!KiDispatchException+0x3a2

f4c0bb4c 80835758 f4c0bbdc f535e785 badb0d00 nt!CommonDispatchException+0x4a

f4c0bb6c f5355b93 850ab630 84e2660c 858b5001 nt!Kei386EoiHelper+0x186

WARNING: Stack unwind information not available Following frames may be wrong

f4c0bbdc f535aa20 85897900 84e2660c 00000028 RapDrv+0xb93

f4c0bc08 f535b282 00222034 84e26608 00000058 RapDrv+0x5a20

f4c0bc28 f535b2f3 865b5ba0 00000058 86043a70 RapDrv+0x6282

f4c0bc4c 8092d3b9 84ad79d8 858e9028 84ad7968 RapDrv+0x62f3

f4c0bc60 8092e81b 865b5ba0 84ad7968 858e9028 nt!IopSynchronousServiceTail+0x10b

f4c0bd00 80940844 00000160 00000000 00000000 nt!IopXxxControlFile+0x5db

f4c0bd34 80834d3f 00000160 00000000 00000000 nt!NtDeviceIoControlFile+0x2a

f4c0bd34 7c95ed54 00000160 00000000 00000000 nt!KiFastCallEntry+0xfc

0012d688 00000000 00000000 00000000 00000000 0x7c95ed54

STACK_COMMAND: kb

FOLLOWUP_IP:

RapDrv+9785

f535e785 894104 mov dword ptr [ecx+4],eax

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: RapDrv

IMAGE_NAME: RapDrvsys

DEBUG_FLR_IMAGE_TIMESTAMP: 3f99bc4f

SYMBOL_NAME: RapDrv+9785

FAILURE_BUCKET_ID: 0x8E_RapDrv+9785

BUCKET_ID: 0x8E_RapDrv+9785

Followup: MachineOwner

从上面可以看出，在系统崩溃时，RapDrv正试图作一个IO操作，在IopSynchronousServiceTail调用时出错。在网上查寻相关资料，发现DapDrv有一个系统漏洞（相关资料），这个漏洞目前并没有相关补丁和解决方案，好在它发生的条件比较苛刻，如果是攻击，必须是已经攻入系统，在试图修改应用程序时才会触发。也就是说，如果想用这个漏洞进行攻击，对方必须是已经攻入系统才能利用这个漏洞。

综合上述，原来推测的四个可能性，只有最后一个Symantec的版本问题最有可能，因为其它的文件传输，只要不修改服务器上的可执行程序，是不会引发错误的。而Symantec在B服务器上安装的也是服务器版，它的升级过程中，可能会试图替换故障服务器上Symantec的上的90版程序。这才会触发RapDrv对文件进行监控。

目前最终处理方案是：

考虑到这种事故发生时造成的影响较小，在基本排除硬件故障后，决定暂时只处理Symantec的版本问题，然后继续观察服务器的状态，如果不再发生类似事件，则不予理会。如果再一次发生类似情况，就将BlackICE中的文件保护功能关闭，这样可以一劳永逸地解决这类事故。