文章作者：28度的冰（www.bit.edu.cn）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

不知道原创是在什么地方看到了，一种比较bt的过防火墙的方式：
停掉IIS，把终端服务端口开到80.
就这个我写了个程序，请看:

复制内容到剪贴板

代码:

F:\C\AntiFW>AntiFW
[url]http://www.bit.edu.cn/[/url] QQ:540085595

Usage:AntiFW [-s | -l]
-s:to stop IIS,and set TS to port 80
-l:to logoff yourself and start IIS in a minute

1)

复制内容到剪贴板

代码:

AntiFW -s

这样IIS就被停掉，同时终端服务的端口被改成80
2)

复制内容到剪贴板

代码:

AntiFW -l

注销自己，并在两分钟之后把终端服务端口改到3389，同时启动IIS.
这样就能让网站还是活过来...

那为什么不改改,防火墙,不更好,这样你只能在深夜无人时才能用,


只要得到了服务器的控制权,过防火墙的方法很多,不必要用这种影响太大的动作

我也只是当时用到临时写的，没有做很好的测试。
在当时搞的那台机子上和我自己的VM中没有问题，如果有Bug，请大家指出。

原文叫作强暴防火墙吧

引用:

引用第1楼husheng34于2007-06-11 09:02发表的 :
那为什么不改改,防火墙,不更好,这样你只能在深夜无人时才能用,


只要得到了服务器的控制权,过防火墙的方法很多,不必要用这种影响太大的动作

硬防就不行了啊。而且防火墙的设置不是说改就改的。

经过我的测试,的确可以成功.

楼主可否共享下源代码呢?

应该说28度的冰想练练编程吧，我一语道破吧。其实写出来也是好的，反正以后也懒的自己动手去改了，还有husheng34说很好过。。。。那请你写出来吧，让我学习下，哈哈！

源码就是 system("一系列cmd命令");
要源码往OD里一扔什么都出来了.

引用:

net stop W3SVC
echo Windows Registry Editor Version 5.00 >amethyst.reg
echo. >>amethyst.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>amethyst.reg
echo "fDenyTSConnections"=dword:1 >>amethyst.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>amethyst.reg
echo "PortNumber"=dword:00000050 >>amethyst.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>amethyst.reg
echo "PortNumber"=dword:00000050 >>amethyst.reg
regedit /s amethyst.reg
echo Windows Registry Editor Version 5.00 >amethyst.reg
echo. >>amethyst.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>amethyst.reg
fDenyTSConnections"=dword:0 >>amethyst.reg
regedit /s amethyst.reg
del amethyst.reg

执行个cmd命令停止IIS，然后通过修改注册表把终端的端口改成80，是这样么？

引用:

引用第8楼无可替代于2007-08-01 01:52发表的 :
执行个cmd命令停止IIS，然后通过修改注册表把终端的端口改成80，是这样么？

是的，楼主开头就说到了，楼上请认真看贴。

windows 2000需要重起端口才会生效哦。。先把IIS停之。然后。。用MT 或者AIO 把3389 转到80。。。

引用:

引用第1楼husheng34于2007-06-11 09:02发表的 :
那为什么不改改,防火墙,不更好,这样你只能在深夜无人时才能用,


只要得到了服务器的控制权,过防火墙的方法很多,不必要用这种影响太大的动作

1楼说的没错,貌似只能"偷偷"的用。但LZ的思路还是要肯定的，感谢分享！也支持一下。

我在本机试了一下,停IIS,TS改连80都一切正常,但是在用

AntiFW -l 时却把自己给强行注销了,同时AntiFW好像还用AT添加了一项任务.

重进系统,发现系统日志记录了以下信息:

事件类型:  信息
事件来源:  Service Control Manager
事件种类:  无
事件 ID:  7036
日期:    2007-8-16
事件:    14:13:12
用户:    N/A
计算机:  Hook
描述:
World Wide Web Publishing Service 服务处于 停止 状态。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。



而AntiFW用AT添加的计划任务却成了:

状态 ID   日期          时间     命令行
-------------------------------------------------------------------------------
错误   1  明天          14:15     E:\antifw -k


-K 又是虾米呢？LZ没提道。

按理解应该就是两分钟后启动IIS的东东？记住了，明天14:15分等IIS重启。

是啊,用at添加一项"计划任务",在2分钟之后启动IIS,
-k就是把终端服务端口改掉并启动IIS

复制内容到剪贴板

代码:

net start W3SVC

按ls的情况,是计划任务没有执行成功,自动就变成下一天执行了,具体我也不知道为什么在ls所在环境会失败.

服务器改端口要不要重启的啊?我记得端口修改好像要重启的在XP系统下。。

对了。。还有个问题。。就是添加了任务后啊。。系统日志会记录日志添加的和运行的记录嘛？为什么楼主的那个antifw没有删除日志的功能啊?

1,xp和2003改端口都不必重启.

2,关于日志,我没有考虑到这一点,也不知道怎么去清除,希望知道的指教.

引用:

引用第5楼追寻于2007-07-29 01:19发表的 :
经过我的测试,的确可以成功.

楼主可否共享下源代码呢?

我郁闷...运行了,终端是改去80了.不过iis竟然没终止....结果还是连不上,,

80还是原来的80,, AntiFW -l 也无效....

迷糊...

是在注册表中改了端口立即生效？不是这样的吧