tack雲伺服器

A. 點擊查看工作機組 伺服器沒有足夠存儲空間 無法完成此處理

1.重啟伺服器
2.由於「伺服器的配置參數"irps4tacksize"太小」導致
注冊表的修改辦法，請小心一試：
通過事件管理器,查看到系統有一個錯誤,事件ID 2011,伺服器的配置參數"irps4tacksize"太小,無法讓伺服器使用本地設備請增加此參數的值要解決伺服器存儲空間不足的問題,請在注冊表中增大 IRPStackSize 值：
1. 運行 regedit
2. 找到以下項：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
3. 在右窗格中雙擊 IRPStackSize 值
注意：如果 IRPStackSize 值不存在,請使用以下過程創建此值：
a. 在注冊表的 Parameters 文件夾中,右健單擊右窗格
b. 指向新建,然後單擊 DWord 值
c. 鍵入 IRPStackSize
重要說明: 因為此數值名稱區分大小寫,所以請完全按照其顯示的形式鍵入 "IRPStackSize"
4. 將"基數"更改為十進制
5. 在"數值數據"框中,鍵入比列出的值大的一個值
建議將 IRPStackSize 值增大 3 : 如果以前的值為 11,則請鍵入 14,然後單擊"確定"
6. 關閉注冊表編輯器並重新啟動計算機

原文鏈接：http://www.lucktu.com/html/2009/08/536.html

B. 災備雲的等級

災難恢復等級是指災難恢復能力國家標准等級，以下簡要為大家分別介紹六個等級的內容：

災難恢復等級：第一級

需滿足國標《信息系統災難恢復規范》(GB/T 20988-2007)災難恢復等級第1級要求，存儲介質為各種磁介質、光介質和紙介質，完全數據備份至少要每周一次，備份介質要場外存放，並且要有介質存取、驗證和轉儲管理制度。

災難恢復等級：第二級

滿足國標《信息系統災難恢復規范》(GB/T 20988-2007)災難恢復等級第2級要求，介質存儲為各種磁介質、光介質和紙介質，要具有高標準的介質存儲環境和設置，同時具有7*24小時門禁、視像監控和保安管理，還要有7*24小時響應的媒體存放及獲取服務。

災難恢復等級：第三級

第三級的介質存儲和第二級的相同，其機房環境需要符合國家標准，以滿足災難演練和災難恢復期間的機房環境要求。一旦災難發生，災備中心可在約定的時間內提供災難備份中心所需要的機房場地，並提供備用主機和外圍設備，使企業能夠利用備份磁帶盡快恢復信息系統的運行，同時還要有必要的通信線路和網路設備，以便建立所需的通信網路，盡快恢復業務。

災難恢復等級：第四級

需滿足國標《信息系統災難恢復規范》(GB/T 20988-2007)災難恢復等級第3、4級要求，一旦災難發生，災備中心已保留有企業生產系統在線備份的最新業務數據，所以可在此備份數據的基礎上，使用災備中心的機房場地、備用主機及外圍系統，迅速恢復信息系統的運行;各服務渠道及各分支機構可在建立與備份中心的網路連接後立即恢復業務運作，進一步提高了企業業務恢復的速度。

災難恢復等級：第五級

需滿足國標《信息系統災難恢復規范》(GB/T 20988-2007)災難恢復等級第5級要求，在災難發生後，其恢復機制和第四級大體相似，但是其速度要更快一些，能夠利用災備中心的機房場地等設施立即恢復信息系統運行。

災難恢復等級：第六級

需滿足國標《信息系統災難恢復規范》(GB/T 20988-2007)災難恢復等級第6級要求，一旦災難發生，災備中心的遠程集群系統將利用實時最新業務數據自動進行系統切換，企業的分支機構及服務渠道也能夠自動切換到備份中心的網路系統，在短時間內恢復企業信息系統的運作，避免了企業業務及對外服務出現停頓事件。

相比傳統的異地災難恢復方法，UCACHE災備雲具有多種優勢：

降低的企業為此的成本、資源、人力投入，同時獲得了更多功能、更多存儲容量和更加靈活的企業信息架構，企業主也可以將資金投入到企業生產中，更加專業於生產和銷售

（目前UCache雲災備100G免費使用，數據壓縮、重刪比例：可達到7：1，實際700G的數據意思是經過加密切塊壓縮，及並行重刪備份後實際在UCache災備雲平台上顯示的佔用容易僅為100G。）

在以下應用場景中UCACHE都有非常完美的支持

勒索病毒防護

保護企業的核心數據免遭這類勒索軟體加密或鎖定降低企業生存風險。

雲平台備份/恢復

保護企業的自建雲平台運營安全，兼容Opens tack、CAS、FusionCloud等雲平台。

虛擬化備份/恢復

保護企業的虛擬化平台數據運營安全，兼容VMware、Hyper-v、XenServer等虛擬化平台。

文件系統備份/恢復

保護企業的非結構化數據，滿足全量備份和增量備份要求。

C. 伺服器埠是什麼

伺服器埠：隨著計算機網路技術的發展，原來物理上的介面（如鍵盤、滑鼠、網卡、顯示卡等輸入/輸出介面）已不能滿足網路通信的要求，TCP/IP協議作為網路通信的標准協議就解決了這個通信難題。

TCP/IP協議集成到操作系統的內核中，這就相當於在操作系統中引入了一種新的輸入/輸出介面技術，因為在TCP/IP協議中引入了一種稱之為"Socket（套接字）"應用程序介面。有了這樣一種介面技術，一台計算機就可以通過軟體的方式與任何一台具有Socket介面的計算機進行通信。埠在計算機編程上也就是"Socket介面"。

(3)tack雲伺服器擴展閱讀：

一台伺服器為什麼可以同時是Web伺服器，也可以是ftp伺服器，還可以是郵件伺服器等，其中一個很重要的原因是各種服務採用不同的埠分別提供不同的服務，比如：通常TCP/IP協議規定Web採用80號埠，FTP採用21號埠等，而郵件伺服器是採用25號埠。這樣，通過不同埠，計算機就可以與外界進行互不幹擾的通信。

D. 請教特洛伊木馬徹底刪除方法

記得加分哦
1. 冰河v1.1 v2.2
冰河是國產最好的木馬
清除木馬v1.1
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的兩個路徑，並刪除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木馬程序
重新啟動。OK
清除木馬v2.2
伺服器程序、路徑用戶是可以隨意定義，寫入注冊表的鍵名也可以自己定義。
因此，不能明確說明。
你可以察看注冊表，把可疑的文件路徑刪除。
重新啟動到MSDOS方式
刪除於注冊表相對應的木馬程序
重新啟動Windows。OK

2. Acid Battery v1.0
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Explorer ="C:\WINDOWS\expiorer.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除c:\windows\expiorer.exe木馬程序
注意：不要刪除正確的ExpLorer.exe程序，它們之間只有i與L的差別。
重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木馬的步驟：

重新啟動到MSDOS方式
刪除C:\windows\MSGSVR16.EXE
然後回到Windows系統
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
關閉Regedit
重新啟動。OK

重新啟動到MSDOS方式
刪除C:\windows\wintour.exe然後回到Windows系統
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE"
關閉Regedit
重新啟動。OK
4. Ambush
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的zka = "zcn32.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:\Windows\ zcn32.exe
重新啟動。OK
5. AOL Trojan
清除木馬的步驟：

啟動到MSDOS方式
刪除C:\ command.exe（刪除前取消文件的隱含屬性）
注意：不要刪除真的command.com文件。
刪除C:\ americ~1.0\buddyl~1.exe（刪除前取消文件的隱含屬性）
刪除C:\ windows\system\norton~1\regist~1.exe（刪除前取消文件的隱含屬性）

打開WIN.INI文件
在[WINDOWS]下面"run="和"load="都載入者特洛伊木馬程序的路徑，必須清除它們：
run=
load=
保存WIN.INI

還要改正注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的WinProfile = c:\command.exe
關閉Regedit，重新啟動Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木馬的步驟：

注意：木馬程序默認文件名是wincmp32.exe，然而程序可以隨意改變文件名。
我們可以根據木馬修改的system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件
在[BOOT]下面有個"shell=文件名"。正確的文件名是explorer.exe
如果不是"explorer.exe"，那麼那個文件就是木馬程序，把它查找出來，刪除。
保存退出system.ini
打開win.ini文件
在[WINDOWS]下面有個run=
如果你看到=後面有路徑文件名，必須把它刪除。
正確的應該是run=後面什麼也沒有。
=後面的路徑文件名就是木馬，把它查找出來，刪除。
保存退出win.ini。
OK
7. AttackFTP
清除木馬的步驟：

打開win.ini文件
在[WINDOWS]下面有load=wscan.exe
刪除wscan.exe ，正確是load=
保存退出win.ini。

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Reminder="wscan.exe /s"
關閉Regedit，重新啟動到MSDOS系統中
刪除C:\windows\system\ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的"C:\WINDOWS\Cmctl32.exe"
關閉Regedit，重新啟動到MSDOS系統中
刪除C:\WINDOWS\Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的『c:\windows\notpa.exe /o=yes『
關閉Regedit，重新啟動到MSDOS系統中
刪除c:\windows\notpa.exe
注意：不要刪除真正的notepad.exe筆記本程序
OK
10. BF Evolution v5.3.12
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的(Default)=" "
關閉Regedit，再次重新啟動計算機。
將C:\windows\system\ .exe（空格exe文件）
OK
11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是運行在Win95/98
0.9X以上版本有運行在Win95/98 和WinNT上兩個軟體
客戶－伺服器協議是一樣的，因而NT客戶能黑95/98被感染的機器，和Win95/98客戶能黑NT被感染的系統完全一樣。
清除木馬的步驟：
首先准備一張98的啟動盤，用它啟動後，進入c:\windows目錄下，用attrib libupd~1.exe -h
命令讓木馬程序可見，然後刪除它。
抽出軟盤後重新啟動，進入98下，在注冊表裡找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子鍵WinLibUpdate = "c:\windows\libupdate.exe -hide"
將此子鍵刪除。

12. Bla v1.0 - 5.03
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
關閉Regedit，重新啟動計算機。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意：不要刪除C:\WINDOWS\RUNDLL.EXE正確文件。
並刪除兩個文件。
OK
13. BladeRunner
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"
右邊的路徑可能是任何東西，這時你不需要刪除它，因為木馬會立即自動加上，你需要的是記下木馬的名字與目錄，然後退回到MS-DOS下，找到此木馬文件並刪除掉。
重新啟動計算機，然後重復第一步，在注冊表中找到木馬文件並刪除此鍵。

14. Bobo v1.0 - 2.0
清除木馬v1.0
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
關閉Regedit，重新啟動計算機。
DEL C:\Windows\System\Dllclient.exe
OK

清除木馬v2.0
打開注冊表Regedit
點擊目錄至：
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一個「假象「的主鍵，選中ICQ Accel主鍵並把它刪除。
重新啟動計算機。OK
15. BrainSpy vBeta
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右邊有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???標簽選是隨意改變的。
關閉Regedit，重新啟動計算機
查找刪除C:\WINDOWS\system\BRAINSPY .exe
OK
16. Cain and Abel v1.50 - 1.51
這是一個口令木馬

進入MS-DOS方式
查找到C:\windows\msabel32.exe
並刪除它。OK
17. Canasson
清除木馬的步驟：

打開WIN.INI文件
查找c:\msie5.exe，刪除全部主鍵
保存win.ini
重新啟動計算機
刪除c:\msie5.exe木馬文件
OK
18. Chupachbra
清除木馬的步驟：

打開WIN.INI文件
[Windows]的下面有兩個行
run=winprot.exe
load=winprot.exe
刪除winprot.exe
run=
load=
保存Win.ini，再打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
刪除右邊的『System Protect『 = winprot.exe
重新啟動Windows
查找到C:\windows\system\ winprot.exe，並刪除。
OK
19. Coma v1.09
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
刪除右邊的『RunTime『 = C:\windows\msgsrv36.exe
重新啟動Windows
查找到C:\windows\ msgsrv36.exe，並刪除。
OK
20. Control
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
刪除右邊的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit，重新啟動Windows
查找到C:\windows\system\MSchv.exe，並刪除。
OK
21. Dark Shadow
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
刪除右邊的winfunctions="winfunctions.exe"
保存Regedit，重新啟動Windows
查找到C:\windows\system\ winfunctions.exe，並刪除。
OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
刪除右邊的項目『System32『=c:\windows\system32.exe
版本2.0-3.1
刪除右邊的項目『SystemTray『 = 『Systray.exe『
保存Regedit，重新啟動Windows
版本1.0刪除c:\windows\system32.exe
版本2.0-3.1
刪除c:\windows\system\systray.exe
OK
23. Delta Source v0.5 - 0.7
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
刪除右邊的項目：DS admin tool = C:\TEMPSERVER.exe
保存Regedit，重新啟動Windows
查找到C:\TEMPSERVER.exe，並刪除它。
OK
24. Der Spaeher v3
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
刪除右邊的項目：explore = "c:\windows\system\dkbdll.exe "
保存Regedit，重新啟動Windows
刪除c:\windows\system\dkbdll.exe木馬文件。
OK
25. Doly v1.1 - v1.7 (SE)
清除木馬V1.1-V1.5版本：

這幾個木馬版本的木馬程序放在三處，增加二個注冊項目，還增加到Win.ini項目。
首先，進入MS-DOS方式，刪除三個木馬程序，但V1.35版本多一個木馬文件mdm.exe。
把下列各項全部刪除：
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新啟動Windows。

接著，打開win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe項目，刪除路徑，改變為load=
保存win.ini文件。

最後，修改注冊表Regedit
找到以下兩個項目並刪除它們
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再尋找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
這個組是木馬的全部參數選擇和設置的伺服器，刪除這個ss組的全部項目。
關閉保存Regedit。
還有打開C:\AUTOEXEC.BAT文件，刪除
@echo off c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
關閉保存autoexec.bat。
OK

清除木馬V1.6版本：
該木馬運行時，將不能通過98的正常操作關閉，只能RESET鍵。徹底清除步驟如下：
1．打開控制面板——添加刪除程序——刪除memory manager 3.0，這就是木馬程序，但是它並不會把木馬的EXE文件刪除掉。
2．用98或DOS啟動盤啟動（用RESET鍵）後，轉入C:\，編輯AUTOEXEC。BAT，把如下內容刪除：
@echo off c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件並返回DOS後，在C：\根目錄下刪除木馬文件：
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3．抽出軟盤重新啟動，進入98後，把c:\program files\目錄下的memory manager 目錄刪除。

清除木馬V1.7版本：
首先，打開C:\AUTOEXEC.BAT文件，刪除
@echo off c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
關閉保存autoexec.bat

然後打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路徑並刪除這個項目
點擊目錄至：
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路徑並刪除這個項目
關閉保存Regedit。重新啟動Windows。

最後，刪除以下木馬程序：
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意：kernal32是A
OK

26. Donald Dick v1.52 - 1.55
清除木馬V1.52-1.53版本：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
刪除右邊的項目：StaticVxD = "vmldir.vxd"
關閉保存Regedit，重新啟動Windows
刪除C:\WINDOWS\System\vmldir.vxd
OK

清除木馬V1.54-1.55版本：

這兩個版本跟上面的版本只是默認文件名不同，其它都一樣，
把vmldir.vxd改為intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：hkey_classes_root\exefile\shell\open\command
找到@=SHELL32 \"%1\" %*把它更改為@="%1" %*
關閉保存Regedit，重新啟動Windows。
查找c:\windows\下shell32．＊文件，並刪除它。
OK
28. Eclipse 2000
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：bybt = "c:\windows\system\eclipse2000.exe"
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
刪除右邊的項目：cksys = "c:\windows\system\ could be anything .exe"
關閉保存Regedit，重新啟動Windows
查找到eclipse2000.exe木馬文件，並刪除

29. Eclypse v1.0
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"
關閉保存Regedit，重新啟動Windows
刪除C:\WINDOWS\SYSTEM\rmaapp.exe
注意：不要刪除Rnaapp.exe
OK
30. Executer v1
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
在右邊的項目查找到"C:\windows\sexec.exe"，並刪除。
關閉保存Regedit，重新啟動Windows
相應刪除木馬程序文件。
OK
31. FakeFTP beta
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Rundll32 = rundll3.tww /h
關閉保存Regedit，重新啟動Windows
找到C:\windows\文件夾下的三個文件並刪除它們
rundll3.bat - 9x.reg - nt.reg
OK
32. Forced Entry
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"
關閉保存Regedit，重新啟動Windows
由於路徑容易改變，只要查找到trojanhrs.exe，並刪除它。
33. GateCrasher v1.0 - 1.2
清除木馬v1.0：
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Explore=『c:\windows\explore.exe『
關閉保存Regedit，重新啟動Windows
然後，刪除相應的木馬程序。
OK

清除木馬v1.1：
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Inet=『EXPLORE.EXE『
關閉保存Regedit，重新啟動Windows
然後，找到相應的木馬程序，並刪除。
OK

清除木馬v1.2：
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Command = 『c:\windows\system.exe『

關閉保存Regedit，重新啟動Windows
然後，找到相應的木馬程序，並刪除。
OK
34. Girlfriend v1.3x (Including Patch 1 and 2)
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Windll.exe ="C:\windows\windll.exe"
Regedit里也保存著伺服器的數據
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General
刪除General項目標題
關閉保存Regedit，重新啟動Windows
然後，找到相應的木馬程序，並刪除。
OK
35. Golden Retreiver v1.1b
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Task Manager="c:\mstask.exe"
關閉保存Regedit，重新啟動Windows
然後，找到相應的木馬程序，並刪除。
OK
36. Hack`a`Tack 1.0 - 2000
清除木馬v1.0-1.2：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Explorer32 ="C:\windows\Expl32.exe"
關閉保存Regedit，重新啟動Windows
然後，找到相應的木馬程序，並刪除。
OK

清除木馬v2000：
打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：Configuration Wizard = c:\windows\cfgwiz32.exe
關閉保存Regedit，重新啟動Windows
刪除c:\windows\cfgwiz32.exe
OK
37. Hack99 KeyLogger
清除木馬的步驟：

打開注冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的項目：HKeyLog = "C:\Windows\System\HKeyLog.exe"
關閉保存Regedit，重新啟動Windows
刪除C:\Windows\System\HKeyLog.exe
OK

E. 在服務中可以關閉哪些無用的埠[請說明埠的作用]

埠可分為3大類：

1） 公認埠（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些埠的通訊明確表明了某種服 務的協議。例如：80埠實際上總是HTTP通訊。

2） 注冊埠（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠，這些埠同樣用於許多其它目的。例如：許多系統處理動態埠從1024左右開始。

3） 動態和/或私有埠（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些埠。實際上，機器通常從1024起分配動態埠。但也有例外：SUN的RPC埠從32768開始。

本節講述通常TCP/UDP埠掃描在防火牆記錄中的信息。記住：並不存在所謂ICMP埠。如果你對解讀ICMP數據感興趣，請參看本文的其它部分。0通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠，當你試 圖使用一種通常的閉合埠連接它時將產生不同的結果。一種典型的掃描：使用IP地址為 0.0.0.0，設置ACK位並在乙太網層廣播。 1 tcpmux 這顯示有人在尋找SGIIrix機器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被打開。Iris機器在發布時含有幾個預設的無密碼的帳戶，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux 並利用這些帳戶。 7Echo你能看到許多人們搜索Fraggle放大器時，發送到x.x.x.0和x.x.x.255的信息。常見的一種DoS攻擊是echo循環（echo-loop），攻擊者偽造從一個機器發送到另一個UDP數據包，而兩個機器分別以它們最快的方式回應這些數據包。（參見Chargen） 另一種東西是由DoubleClick在詞埠建立的TCP連接。有一種產品叫做Resonate Global Dispatch」，它與DNS的這一埠連接以確定最近的路由。Harvest/squid cache將從3130埠發送UDPecho：「如果將cache的source_ping on選項打開，它將對原始主機的UDP echo埠回應一個HIT reply。」這將會產生許多這類數據包。

11 sysstat這是一種UNIX服務，它會列出機器上所有正在運行的進程以及是什麼啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全，如暴露已知某些弱點或帳戶的程序。這與UNIX系統中「ps」命令的結果相似再說一遍：ICMP沒有埠，ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時，會發送含有垃圾字元的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊偽造兩 個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限的往返數據通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包，受害者為了回應這些數據而過載。

21 ftp最常見的攻擊者用於尋找打開「anonymous」的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。

22 sshPcAnywhere建立TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它埠運行ssh）還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP（而不是TCP）與另一端的5632埠相連意味著存在搜索pcAnywhere的掃描。5632 （十六進制的0x1600）位交換後是0x0016（使進制的22）。

23 Telnet入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃描這一埠是為了找到機器運行的操作系統。此外使用其它技術，入侵者會找到密碼。

作者： 211.71.57.* 2005-3-25 00:05 回復此發言

--------------------------------------------------------------------------------

2 埠詳解

25 smtp攻擊者（spammer）尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉，他們需要撥號連接到高帶寬的e-mail伺服器上，將簡單的信息傳遞到不同的地址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是復雜的（暴露+復雜=弱點）。

53 DNSHacker或crackers可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其它通訊。因此防火牆常常過濾或記錄53埠。 需要注意的是你常會看到53埠做為UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的「中間人」（man-in-middle）攻擊。客戶端向68埠（bootps）廣播請求配置，伺服器向67埠（bootpc）廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務，便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件，如密碼文件。它們也可用於向系統寫入文件

79 finger Hacker用於獲得用戶信息，查詢操作系統，探測已知的緩沖區溢出錯誤，回應從自己機器到其它機器finger掃描。

98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的HTTP伺服器在98埠提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot，信任區域網，在/tmp下建立Internet可訪問的文件，LANG環境變數有緩沖區溢出。 此外因為它包含整合的伺服器，許多典型的HTTP漏洞可能存在（緩沖區溢出，歷遍目錄等）109 POP2並不象POP3那樣有名，但許多伺服器同時提供兩種服務（向後兼容）。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個（這意味著Hacker可以在真正登陸前進入系統）。成功登陸後還有其它緩沖區溢出錯誤。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是掃描系統查看允許哪些RPC服務的最早的一步。常 見RPC服務有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供 服務的特定埠測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發現入侵者正使用什麼程序訪問以便發現到底發生了什麼。

113 Ident auth .這是一個許多機器上運行的協議，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的信息（會被Hacker利用）。但是它可作為許多服務的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，你將會看到許多這個埠的連接請求。記住，如果你阻斷這個埠客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回T，著將回停止這一緩慢的連接。

119 NNTP news新聞組傳輸協議，承載USENET通訊。當你鏈接到諸如：news:p.security.firewalls/. 的地址時通常使用這個埠。這個埠的連接企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或發送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個埠運行DCE RPC end- point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或RPC的服務利用 機器上的end-point mapper注冊它們的位置。遠端客戶連接到機器時，它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個埠是為了找到諸如：這個機器上運 行Exchange Server嗎？是什麼版本？ 這個埠除了被用來查詢服務（如使用epmp）還可以被用於直接攻擊。有一些DoS攻 擊直接針對這個埠。
25 smtp攻擊者（spammer）尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉，他們需要撥號連接到高帶寬的e-mail伺服器上，將簡單的信息傳遞到不同的地址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是復雜的（暴露+復雜=弱點）。

53 DNSHacker或crackers可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其它通訊。因此防火牆常常過濾或記錄53埠。 需要注意的是你常會看到53埠做為UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的「中間人」（man-in-middle）攻擊。客戶端向68埠（bootps）廣播請求配置，伺服器向67埠（bootpc）廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務，便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件，如密碼文件。它們也可用於向系統寫入文件

79 finger Hacker用於獲得用戶信息，查詢操作系統，探測已知的緩沖區溢出錯誤，回應從自己機器到其它機器finger掃描。

98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的HTTP伺服器在98埠提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot，信任區域網，在/tmp下建立Internet可訪問的文件，LANG環境變數有緩沖區溢出。 此外因為它包含整合的伺服器，許多典型的HTTP漏洞可能存在（緩沖區溢出，歷遍目錄等）109 POP2並不象POP3那樣有名，但許多伺服器同時提供兩種服務（向後兼容）。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個（這意味著Hacker可以在真正登陸前進入系統）。成功登陸後還有其它緩沖區溢出錯誤。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是掃描系統查看允許哪些RPC服務的最早的一步。常 見RPC服務有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供 服務的特定埠測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發現入侵者正使用什麼程序訪問以便發現到底發生了什麼。

113 Ident auth .這是一個許多機器上運行的協議，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的信息（會被Hacker利用）。但是它可作為許多服務的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，你將會看到許多這個埠的連接請求。記住，如果你阻斷這個埠客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回T，著將回停止這一緩慢的連接。

119 NNTP news新聞組傳輸協議，承載USENET通訊。當你鏈接到諸如：news:p.security.firewalls/. 的地址時通常使用這個埠。這個埠的連接企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或發送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個埠運行DCE RPC end- point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或RPC的服務利用 機器上的end-point mapper注冊它們的位置。遠端客戶連接到機器時，它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個埠是為了找到諸如：這個機器上運 行Exchange Server嗎？是什麼版本？ 這個埠除了被用來查詢服務（如使用epmp）還可以被用於直接攻擊。有一些DoS攻 擊直接針對這個埠。

作者： 211.71.57.* 2005-3-25 00:05 回復此發言

--------------------------------------------------------------------------------

3 埠詳解

137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最常見的信息，請仔細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing 通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows「文件和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最常見的問題。 大量針對這一埠始於1999，後來逐漸變少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）開始將它們自己拷貝到這個埠，試圖在這個埠繁殖。

143 IMAP和上面POP3的安全問題一樣，許多IMAP伺服器有緩沖區溢出漏洞運行登陸過程中進入。記住：一種Linux蠕蟲（admw0rm）會通過這個埠繁殖，因此許多這個埠的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允許IMAP後，這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。這一埠還被用於IMAP2，但並不流行。 已有一些報道發現有些0到143埠的攻擊源於腳本。

161 SNMP(UDP)入侵者常探測的埠。SNMP允許遠程管理設備。所有配置和運行信息都儲存在資料庫中，通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網路。Windows機器常會因為錯誤配置將HP JetDirect rmote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名，你會看見這種包在子網內廣播（cable modem, DSL）查詢sysName和其它信息。

162 SNMP trap 可能是由於錯誤配置

177 xdmcp 許多Hacker通過它訪問X-Windows控制台，它同時需要打開6000埠。

513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你將會看到這個埠的廣播。CORBA是一種面向對象的RPC（remote procere call）系統。Hacker會利用這些信息進入系統。 600 Pcserver backdoor 請查看1524埠一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個埠的掃描是基於UDP的，但基於TCP 的mountd有所增加（mountd同時運行於兩個埠）。記住，mountd可運行於任何埠（到底在哪個埠，需要在埠111做portmap查詢），只是Linux默認為635埠，就象NFS通常運行於2049埠1024 許多人問這個埠是干什麼的。它是動態埠的開始。許多程序並不在乎用哪個埠連接網路，它們請求操作系統為它們分配「下一個閑置埠」。基於這一點分配從埠1024開始。這意味著第一個向系統請求分配動態埠的程序將被分配埠1024。為了驗證這一點，你可以重啟機器，打開Telnet，再打開一個窗口運行「natstat -a」，你將會看到Telnet被分配1024埠。請求的程序越多，動態埠也越多。操作系統分配的埠將逐漸變大。再來一遍，當你瀏覽Web頁時用「netstat」查看，每個Web頁需要一個新埠。

1025 參見1024

1026 參見1024

1080 SOCKS 這一協議以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP地址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的配置，它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機，從而掩飾他們對你的直接攻擊。 WinGate是一種常見的Windows個人防火牆，常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。

1114 SQL 系統本身很少掃描這個埠，但常常是sscan腳本的一部分。

1243 Sub-7木馬（TCP）參見Subseven部分。

1524 ingreslock後門 許多攻擊腳本將安裝一個後門Sh*ll 於這個埠（尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的腳本，如statd,ttdbserver和cmsd）。如果你剛剛安裝了你的防火牆就看到在這個埠上的連接企圖，很可能是上述原因。你可以試試Telnet到你的機器上的這個埠，看看它是否會給你一個Sh*ll 。連接到600/pcserver也存在這個問題。

2049 NFS NFS程序常運行於這個埠。通常需要訪問portmapper查詢這個服務運行於哪個埠，但是大部分情況是安裝後NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開portmapper直接測試這個埠。

3128 squid 這是Squid HTTP代理伺服器的默認埠。攻擊者掃描這個埠是為了搜尋一個代理伺服器而匿名訪問Internet。你也會看到搜索其它代理伺服器的埠： 000/8001/8080/8888。掃描這一埠的另一原因是：用戶正在進入聊天室。其它用戶（或伺服器本身）也會檢驗這個埠以確定用戶的機器是否支持代理。請查看5.3節。

5632 pcAnywere你會看到很多這個埠的掃描，這依賴於你所在的位置。當用戶打開pcAnywere時，它會自動掃描區域網C類網以尋找可能得代理（譯者：指agent而不是proxy）。Hacker/cracker也會尋找開放這種服務的機器，所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含埠22的UDP數據包。參見撥號掃描。

6776 Sub-7 artifact 這個埠是從Sub-7主埠分離出來的用於傳送數據的埠。例如當控制者通過電話線控制另一台機器，而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時，他們將會看到持續的，在這個埠的連接企圖。（譯者：即看到防火牆報告這一埠的連接企圖時，並不表示你已被Sub-7控制。）6970 RealAudio RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP7070埠外向控制連接設置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許用戶在此埠打開私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它會「駐扎」在這一TCP埠等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶，從另一個聊天者手中「繼承」了IP地址這種情況就會發生：好象很多不同的人在測試這一埠。這一協議使用「OPNG」作為其連接企圖的前四個位元組。

17027 Concent這是一個外向連接。這是由於公司內部有人安裝了帶有Concent "adbot" 的共享軟體。Concent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉IP地址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載： 機器會不斷試圖解析DNS名—ads.concent.com，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的Radiate是否也有這種現象）

27374 Sub-7木馬(TCP) 參見Subseven部分。

30100 NetSphere木馬(TCP) 通常這一埠的掃描是為了尋找中了NetSphere木馬。

31337 Back Orifice 「eliteHacker中31337讀做「elite」/ei』li:t/（譯者：法語，譯為中堅力量，精華。即 3=E, 1=L, 7=T）。因此許多後門程序運行於這一埠。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。現在它的流行越來越少，其它的 木馬程序越來越流行。

31789 Hack-a-tack 這一埠的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬（RAT,Remote Access Trojan）。這種木馬包含內置的31790埠掃描器，因此任何31789埠到317890埠的連 接意味著已經有這種入侵。（31789埠是控制連接，317890埠是文件傳輸連接）

32770~32900 RPC服務 Sun Solaris的RPC服務在這一范圍內。詳細的說：早期版本的Solaris（2.5.1之前）將 portmapper置於這一范圍內，即使低埠被防火牆封閉仍然允許Hacker/cracker訪問這一埠。 掃描這一范圍內的埠不是為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute 如果你看到這一埠范圍內的UDP數據包（且只在此范圍之內）則可能是由於traceroute。參見traceroute分。

41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。參見 http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
埠1~1024是保留埠，所以它們幾乎不會是源埠。但有一些例外，例如來自NAT機器的連接。 常看見緊接著1024的埠，它們是系統分配給那些並不在乎使用哪個埠連接的應用程序的「動態埠」。 Server Client 服務描述

1-5/tcp 動態 FTP 1-5埠意味著sscan腳本

20/tcp 動態 FTP FTP伺服器傳送文件的埠

53 動態 FTP DNS從這個埠發送UDP回應。你也可能看見源/目標埠的TCP連接。

123 動態 S/NTP 簡單網路時間協議（S/NTP）伺服器運行的埠。它們也會發送到這個埠的廣播。

27910~27961/udp 動態 Quake Quake或Quake引擎驅動的游戲在這一埠運行其伺服器。因此來自這一埠范圍的UDP包或發送至這一埠范圍的UDP包通常是游戲。

61000以上 動態 FTP 61000以上的埠可能來自Linux NAT伺服器（IP asquerade）

F. xp系統訪問共享文件操作一會提示伺服器存儲空間不足,無法處理此命令

電腦打開某些網上鄰居的東西或是打開某個文件夾時,總是提示「伺服器存儲空間不足，無法處理此命令 (Not enough server storage is available to process this command)」，原來曾經遇到相同的錯誤提示，原因是安裝了某些Windows更新之後伺服器沒有重啟，如發炮製之後問題依舊，查日誌發現有錯誤記錄「事件ID 2011，伺服器的配置參數「irps4tacksize」太小，無法讓伺服器使用本地設備。請增加此參數的值。」。

解決方法:

創建鍵值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\IRPstackSize

類型為DWORD，取值設置為0x32，重啟之後問題解決。

----------------------------------------------------------------
防病毒軟體可能導致出現事件 ID 2011
解決方案
警告：注冊表編輯器使用不當可導致嚴重問題，可能需要重新安裝操作系統。Microsoft 不能保證您可以解決因注冊表編輯器使用不當而導致的問題。使用注冊表編輯器需要您自擔風險。

要解決此問題，請在注冊表中增大 IRPStackSize 值： 1. 單擊開始，然後單擊運行。
2. 鍵入 regedit，然後單擊確定。
3. 導航到以下項：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
4. 在右窗格中雙擊 IRPStackSize 值。

注意：如果 IRPStackSize 值仍不存在，請使用以下過程創建此值： a. 在注冊表的 Parameters 文件夾中，右健單擊右窗格。
b. 指向新建，然後單擊 DWord 值。
c. 鍵入 IRPStackSize。

重要說明：因為此數值名稱區分大小寫，所以請完全按照其顯示的形式鍵入「IRPStackSize」。

5. 將「基數」更改為十進制。
6. 在「數值數據」框中，鍵入比列出的值大的一個值。

如果使用步驟 4 中描述的步驟創建了 IRPStackSize 值，則默認值為 15。建議將此值增大 3，因此，如果以前的值為 11，則請鍵入 14，然後單擊「確定」。
7. 關閉注冊表編輯器。
8. 重新啟動計算機。
如果在完成上述步驟後仍存在此問題，請嘗試進一步增大 IRPStackSize 的值。在 Windows 2000 中，這一最大值為 50（0x32 十六進制）。

G. 訪問網上鄰居的共享,出現「伺服器存儲空間不足,無法處理此命令」的提示

樓主你好：電腦打開某些網上鄰居的東西或是打開某個文件夾時,總是提示「伺服器存儲空間不足，無法處理此命令 (Not enough server storage is available to process this command)」，原來曾經遇到相同的錯誤提示，原因是安裝了某些Windows更新之後伺服器沒有重啟，如發炮製之後問題依舊，查日誌發現有錯誤記錄「事件ID 2011，伺服器的配置參數「irps4tacksize」太小，無法讓伺服器使用本地設備。請增加此參數的值。」。

解決方法:

創建鍵值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\IRPstackSize

類型為DWORD，取值設置為0x32，重啟之後問題解決。

----------------------------------------------------------------
防病毒軟體可能導致出現事件 ID 2011
解決方案
警告：注冊表編輯器使用不當可導致嚴重問題，可能需要重新安裝操作系統。Microsoft 不能保證您可以解決因注冊表編輯器使用不當而導致的問題。使用注冊表編輯器需要您自擔風險。

要解決此問題，請在注冊表中增大 IRPStackSize 值： 1. 單擊開始，然後單擊運行。
2. 鍵入 regedit，然後單擊確定。
3. 導航到以下項：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
4. 在右窗格中雙擊 IRPStackSize 值。

注意：如果 IRPStackSize 值仍不存在，請使用以下過程創建此值： a. 在注冊表的 Parameters 文件夾中，右健單擊右窗格。
b. 指向新建，然後單擊 DWord 值。
c. 鍵入 IRPStackSize。

重要說明：因為此數值名稱區分大小寫，所以請完全按照其顯示的形式鍵入「IRPStackSize」。

5. 將「基數」更改為十進制。
6. 在「數值數據」框中，鍵入比列出的值大的一個值。

如果使用步驟 4 中描述的步驟創建了 IRPStackSize 值，則默認值為 15。建議將此值增大 3，因此，如果以前的值為 11，則請鍵入 14，然後單擊「確定」。
7. 關閉注冊表編輯器。
8. 重新啟動計算機。
如果在完成上述步驟後仍存在此問題，請嘗試進一步增大 IRPStackSize 的值。在 Windows 2000 中，這一最大值為 50（0x32 十六進制）。

H. 怎樣使所有程序都自動通過代理伺服器上網

不對，應該是Permeo Security Driver

Permeo Security Driver 是Permeo Application Security Platform平台中的核心模塊,這個軟體其實是SockCap, e-border的延伸，功能更加強大，它將SOCKSCAP做成了WINDOWS的驅動程序。它能夠將本地應用程序的網路連接請求直接轉化為socks5，使得本來不能直接使用的網路應用程序可以通過代理來使用。

客戶端軟體Permeo Security Driver以4.22版本為例。
假設:代理伺服器地址：192.168.0.1，開放的socks5埠為1080。

1.要啟動CCProxy設置的DNS服務,客戶端機器的TCP/IP協議里要設置DNS地址，DNS填代理伺服器的IP地址。

2.下載Permeo Security Driver軟體(下載)

3. 運行安裝程序，如下圖：

4.點「NEXT」下一步，填入注冊信息，結果如下圖：

License:CCE41-J0UWF-EG3KJ-9AHH0-4YTVU-UVW7E-56949-M5DTN-KSC61

Encrypt License:CCE41-A6BZS-JAE00-BF848-62K69-G7FV1-SS6UW-SRD60-QWE75

5.繼續「Next」,直到安裝完成。如果是第一次安裝會彈出一個窗口,在server IP or host里輸入代理伺服器的IP地址和埠號(如圖1),點擊OK.然後重新啟動電腦：
(圖1)

該軟體在系統啟動後會自動載入，以圖標方式顯示在屏幕右下角的托盤中。圖2顯示的是該軟體被禁止使用的圖像，圖3顯示的是該軟體被激活時的圖像。
(圖2)

(圖3)

6.當我們在該圖標上點擊右鍵時，會出現該軟體的設置菜單。如圖4所示。
(圖4)

7.因為我們是要使用該軟體和外面的網路連接，因此我們選中Out of Office選項，然後選擇"User Properties",進入設置界面(圖5)。
(圖5)

8.給show icon on the tackbar選項打上勾，可以讓軟體圖標出現在系統右下角的托盤中。再點擊Out of Office後面的Edit按鈕，會出現具體的設置界面，如圖6所示。
(圖6)

9.接著我們在Application頁繼續進行設置，我們選擇Proxy all選項，也就是代理所有的應用程序(圖7)。如果要排除某個程序，點擊include list按鈕，把需要排除的程序添加即可。當然，如果你確切的知道只有那些程序需要通過代理連接到網路上，也可以選擇Proxy only選項，對應的將這些程序加入到include list中就可以了。
(圖7)

10.接著選擇DNS，設置如圖8所示：
(圖8)

11.點擊「應用」，「確定」即可。

圖例、下載地址：http://www.mmweb.cn/tools/proxy/

I. 文件存放位置不是共享伺服器

文件存放位置不是共享伺服器，可能是由於伺服器存儲不足，無法處理此命令。
電腦存儲某些網上鄰居的東西或是某個文件夾時,有時會發生文件存放位置不在共享伺服器的情況，原因是安裝了某些Windows更新之後伺服器沒有重啟，如發炮製之後問題依舊，查日誌發現有錯誤記錄「事件ID 2011，伺服器的配置參數「irps4tacksize」太小，無法讓伺服器使用本地設備。
解決方法:：
創建鍵值HKEY_LOCAL_ze，類型為DWORD，取值設置為0x32，重啟之後問題解決。

J. 雲計算未來發展趨勢

一、虛擬化技術向軟硬協同方向發展
按照IDC的研究，2005年之前是虛擬化技術發展的第一階段，稱之為虛擬化1.0，從2005年到2010年時虛擬化發展的第二階段，稱之為虛擬化2.0，目前已經進入虛擬化2.5階段，虛擬化3.0階段在不久也將會到來。根據Gartner的預測，到2016年中國70%的X86企業伺服器將實現虛擬化。

ArsTechnica網站上刊出的一篇文章評論到，當前的虛擬化市場當中，VMware是老大，微軟Hyper-V老二，思傑Xen第三，紅帽和甲骨文在爭奪第四把交椅。隨著伺服器等硬體技術和相關軟體技術的進步、軟體應用環境的逐步發展成熟以及應用要求不斷提高，虛擬化由於具有提高資源利用率、節能環保、可進行大規模數據整合等特點成為一項具有戰略意義的新技術。

首先，隨著各大廠商紛紛進軍虛擬化領域，開源虛擬化將不斷成熟。

其次，隨著虛擬化技術的發展，軟硬協同的虛擬化將加快發展。在這方面，內存的虛擬化已初顯端倪。

第三，網路虛擬化發展迅速。網路虛擬化可以高效地利用網路資源，具有節能成本、簡化網路運維和管理、提升網路可靠性等優點。

二、數據中心向整合化和綠色節能方向發展

目前傳統數據中心的建設正面臨異構網路、靜態資源、管理復雜、能耗高等方面問題，雲計算數據中心與傳統數據中心有所不同，它既要解決如何在短時間內快速、高效完成企業級數據中心的擴容部署問題，同時要兼顧綠色節能和高可靠性要求。高利用率、一體化、低功耗、自動化管理成為雲計算數據中心建設的關注點，整合、綠色節能成為雲計算數據中心構建技術的發展特點。

數據中心的整合首先是物理環境的整合，包括供配電和精密製冷等，主要是解決數據中心基礎設施的可靠性和可用性問題。進一步的整合是構建針對基礎設施的管理系統，引入自動化和智能化管理軟體，提升管理運營效率。還有一種整合是存儲設備、伺服器等的優化、升級，以及推出更先進的伺服器和存儲設備。艾默生公司就提出，整合創新決勝雲計算數據中心。

兼顧高效和綠色節能的集裝箱數據中心出現。集裝箱數據中心是一種既吸收了雲計算的思想，又可以讓企業快速構建自有數據中心的產品。與傳統數據中心相比，集裝箱數據中心具有高密度、低PUE、模塊化、可移動、靈活快速部署、建設運維一體化等優點，成為發展熱點。國外企業如谷歌、微軟、英特爾等已經開始開發和部署大規模的綠色集裝箱數據中心。

通過伺服器虛擬化、網路設備智能化等技術可以實現數據中心的局部節能，但尚不能真正實現綠色數據中心的要求，因此，以數據中心為整體目標來實現節能降耗正成為重要的發展方向，圍繞數據中心節能降耗的技術將不斷創新並取得突破。數據中心高溫化是一個發展方向，低功耗伺服器和晶元產品也是一個方向。

三、大規模分布式存儲技術進入創新高峰期

在雲計算環境下，存儲技術將主要朝著從安全性、便攜性及數據訪問等方向發展。分布存儲的目標是利用多台伺服器的存儲資源來滿足單台伺服器不能滿足的存儲需求，它要求存儲資源能夠被抽象表示和統一管理，並且能夠保證數據讀寫操作的安全性、可靠性、性能等各方面要求。為保證高可靠性和經濟性，雲計算採用分布式存儲的方式來存儲數據，採用冗餘存儲的方式來保證存儲數據的可靠性，以高可靠軟體來彌補硬體的不可靠，從而提供廉價可靠的海量分布式存儲和計算系統。在大規模分布式存儲技術中，基於塊設備的分布式文件系統適用於大型的、海量數據的雲計算平台，它將客戶數據冗餘部署在大量廉價的普通存儲上，通過並行和分布式計算技術，可以提供優秀的數據冗餘功能。且由於採用了分布式並發數據處理技術，眾多存儲節點可以同時向用戶提供高性能的數據存取服務，也保證數據傳輸的高效性。目前國外很多大學、研究機構和公司已經或正在著手開發分布式文件系統，已經涌現出一批著名的分布式文件系統，如PVFS、GPFS、zFS、Google FS、Hadoop FS等，進一步更深入的研發也還在進行中。

除了大規模分布式存儲技術，P2P存儲、數據網格、智能海量存儲系統等方也是海量存儲發展的趨勢體現。其中，P2P存儲可以看做是分布式存儲的一種，是一個用於對等網路的數據存儲系統，旨在提供高效率、魯棒和負載均衡的文件存取。數據網格是有機的智能單元的組合，類似於計算網格。智能海量存儲系統包括主動的數據採集、數據分析、主動調整等。雲計算中存儲的海量數據應用將為雲計算提供新的價值高點，也必將成為雲計算發展的重點方向之一。

四、安全與隱私將獲得更多關注

雲計算作為一種新的應用模式，在形態上與傳統互聯網相比發生了一些變化，勢必帶來新的安全問題，例如數據高度集中使數據泄漏風險激增、多客戶端訪問增加了數據被截獲的風險等等。雲安全技術是保障雲計算服務安全性的有效手段，它要解決包括雲基礎設施安全、數據安全、認證和訪問管理安全以及審計合規性等諸多問題。雲計算本身的安全仍然要依賴於傳統信息安全領域的主要技術。不過另一方面，雲計算具有虛擬化、資源共享等特點，傳統信息安全技術需要適應其特點採取不同的模式，或者有新的技術創新。另外，由於在雲計算中用戶無法准確知道數據的位置，因此雲計算提供商和用戶的信任問題是雲計算安全要考慮的一個重點。總體來說，雲計算提供商要充分結合雲計算特點和用戶要求，提供整體的雲計算安全措施，這將驅動雲計算安全技術發展。適應雲計算的特點和安全需求，雲計算安全技術在加密技術、信任技術、安全解決方案、安全服務模式方面加快發展。

此外，未來的安全趨勢，勢必會涉及終端及移動終端各個層面，包括各類PC、手機在內的智能終端、可穿戴設備，都有可能會面臨攻擊者的挑戰，這樣的攻擊對多種設備會變得日益難以防護。解決終端安全，雲安全是首先需要解決的，即從雲端首先判斷安全的趨勢，而不是孤立的從一台終端來判斷。通過雲端安全的大數據分析，可以清晰發現其中存在的多種威脅趨勢，從而及時攔截新木馬以及防止網路入侵和攻擊。隱私權保護問題雖是雲計算普及過程中需要解決的一大難題，但隨著雲計算的發展及相關標準的成熟。相信隱私權會得到更好地保護，雲計算也將像互聯網上的其他應用環境一樣，深刻地影響我們的生活方式。

五、分布式計算技術不斷完善和提升

資源調度管理被認為是雲計算的核心，因為雲計算不僅是將資源集中，更重要的是資源的合理調度、運營、分配、管理。雲計算數據中心的突出特點，是具備大量的基礎軟硬體資源，實現了基礎資源的規模化。但如何合理有效調度管理這些資源，提高這些資源的利用率，降低單位資源的成本，是雲計算平台提供商面臨的難點和重點。業務/資源調度中心、副本管理技術、任務調度演算法、任務容錯機制等資源調度和管理技術的發展和優化，將為雲計算資源調度和管理提供技術支撐。不過，正成為業界關注重點的雲計算操作系統有可能使雲計算資源調度管理技術走向新的道路。雲計算操作系統是雲計算數據中心運營系統，是指架構於伺服器、存儲、網路等基礎硬體資源和單機操作系統、中間件、資料庫等基礎軟體管理海量的基礎硬體資源和軟體資源的雲平台綜合管理系統，可以實現極為簡化和更加高效的計算模型，以低成本實現指定服務級別、響應時間、安全策略、可用性等規范。

現在雲計算的商業環境對整個體系的可靠性提供了更高的需求，為了支持商業化的雲計算服務，分布式的系統協作和資源調度最重要的就是可靠性。未來成熟的分布式計算技術將能夠支持在線服務(SaaS)，自從2007年蘋果iPhone進入市場開始，事情發生很大的變化，智能手機時代的到來使得Web開始走進移動終端，SaaS的風暴席捲整個互聯網，在線應用成為一種時尚。分布式計算技術不斷完善和提升，將支持在跨越數據中心的大型集群上執行分布式應用的框架。

六、SLA細化服務質量監控實時化

要想讓用戶敢於將關鍵業務應用放在雲計算平台上，粗放的服務協議顯然無法讓人放心，用戶需要知道雲計算廠商能否快速地將數據傳遍全國、網路連接狀況又能好到何種程度。對於激增的商業需求而言，性能的拓展是不夠的，而雲計算提供商能夠多快地拓展性能也事關重要。用戶需要能夠讓他們高枕無憂的服務品質協議，細化服務品質是必然趨勢。雲計算對計算、存儲和網路的資源池化，使得對底層資源的管理越來越復雜，越來越重要，基於雲計算的高效工作負載監控要在性能發生問題之前就提前發現苗頭，從而防患於未然，實時的了解雲計算運行詳細信息將有助於交付一個更強大的雲計算使用體驗，也是未來發展的方向（關於更多可以關注微信公號漫步雲計算）謝謝。