※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-14 01:09:33
看板 AntiVirus
作者 標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 18:48:21 2017
方才看到這波攻擊是採用SMB漏洞 走port 445
當下直覺是馬上去Windows防火牆新增規則擋掉TCP 445 port
請問是否理論上這樣就應該是可以完全防止這一套Ransomware?
可是詭異的是為何我 telnet localhost 445 依舊是連的上的呢?
netstat -ao 是有看到port 445 listening沒錯 但防火牆應該會block掉阿
家中還有老人在用的電腦 是透過小烏龜PPPoE 然後兩台電腦是吃小烏龜的local Lan
這樣應該就是大家說的沒有port dispatching或者DMZ 相對應該這一波還算安全?
--
: 這波看起來很嚴重,如果真的是SMB漏洞的話
: 那只有windows會受到感染,畢竟Linux Mac OS沒有這項服務
: 也就不存在這個漏洞
: 看起來是用445port進去的
: 所以小烏龜直上就等於全部open
: 只剩下系統的防火牆,啊有人關掉就直接中了
: 有AP好像還好一點,除非有人開DMZ,又沒有做LAN區隔,就還是會中鏢
: 以上推論,鞭小力點,謝謝指教
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.222.25
※ 文章代碼(AID): #1P5kHu3F (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494672504.A.0CF.html
※ 同主題文章:
05-12 22:56 ■ [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 00:43 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 04:32 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 13:29 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 18:36 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
● 05-13 18:48 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
推 : 沒記錯小烏龜都是全open1F 05/13 18:58
A大 小烏龜是全open沒錯 但應該如果沒特別導的話等於那個public IP的445是不通的?頂多剩下LAN之間的電腦可能互相感染的風險?
→ : 阿你因為loop back所以會通445正常2F 05/13 18:58
阿.. 我以為loop back interface也會被block我試用private IP telnet xxx.xx.xxx.xx 445 也是通
還是這樣也算是走loop back?
→ : 別人應該是不會通3F 05/13 18:58
→ : 你對防火牆運作方式的理解有錯誤4F 05/13 18:59
→ : 防火牆關閉不代表系統不會開 port
→ : 而是連線要進來的時候會先被防火牆過濾
→ : 允許的才能夠往下面走
B大 我對防火牆的運作方式理解是 service依舊會聽port再由防火牆blocking port→ : 防火牆關閉不代表系統不會開 port
→ : 而是連線要進來的時候會先被防火牆過濾
→ : 允許的才能夠往下面走
所以應該是沒有理解錯誤的~ 感謝
※ 編輯: PTTCEO (123.194.222.25), 05/13/2017 19:05:42
推 : 請問 是關445port的TCP?還是UDP? 還是都關?8F 05/13 19:04
→ : 我是關TCP而已耶 SMB應該是TCP protocol?9F 05/13 19:06
推 : 問一下b大,是否顯示"LISTENING"也沒關係,雖然port有開10F 05/13 19:07
→ : 但還是會被防火牆規則擋下呢?
→ : 卡巴防火牆規則是TCP與UDP都封鎖
→ : 但還是會被防火牆規則擋下呢?
→ : 卡巴防火牆規則是TCP與UDP都封鎖
→ : eset nod32也有擋麼?怕怕的13F 05/13 19:17
→ : 你那行「netstat -ao...」看起來就是搞不清楚啊 XD14F 05/13 19:30
→ : localhost 走的是 TCP/IP 模組
→ : 就跟你 ping localhost 會回應意思一樣
→ : 少兩個字 另外 localhost...
→ : 然後大概是我看錯你的意思 (?
→ : localhost 走的是 TCP/IP 模組
→ : 就跟你 ping localhost 會回應意思一樣
→ : 少兩個字 另外 localhost...
→ : 然後大概是我看錯你的意思 (?
推 : 樓上,2個都要擋唷19F 05/13 19:45
→ : 有 listening 就是服務有開20F 05/13 19:49
→ : 在一般使用狀況建議你乾脆把服務給關了
→ : 在一般使用狀況建議你乾脆把服務給關了
推 : 所謂的小烏龜直上 指的是用小烏龜撥號 電腦直接取得22F 05/13 20:43
→ : 實體Ip?
→ : 實體Ip?
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 177
回列表(←)
分享