顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-14 01:09:33
看板 AntiVirus
作者 PTTCEO (批踢踢首席執行長)
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 18:48:21 2017


方才看到這波攻擊是採用SMB漏洞 走port 445
當下直覺是馬上去Windows防火牆新增規則擋掉TCP 445 port

請問是否理論上這樣就應該是可以完全防止這一套Ransomware?
可是詭異的是為何我 telnet localhost 445 依舊是連的上的呢?
netstat -ao 是有看到port 445 listening沒錯 但防火牆應該會block掉阿

家中還有老人在用的電腦 是透過小烏龜PPPoE 然後兩台電腦是吃小烏龜的local Lan
這樣應該就是大家說的沒有port dispatching或者DMZ 相對應該這一波還算安全?

--
: 這波看起來很嚴重,如果真的是SMB漏洞的話
: 那只有windows會受到感染,畢竟Linux Mac OS沒有這項服務
: 也就不存在這個漏洞
: 看起來是用445port進去的
: 所以小烏龜直上就等於全部open
: 只剩下系統的防火牆,啊有人關掉就直接中了
: 有AP好像還好一點,除非有人開DMZ,又沒有做LAN區隔,就還是會中鏢
: 以上推論,鞭小力點,謝謝指教

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.222.25
※ 文章代碼(AID): #1P5kHu3F (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494672504.A.0CF.html
a07051226: 沒記錯小烏龜都是全open1F 05/13 18:58
A大 小烏龜是全open沒錯 但應該如果沒特別導的話等於那個public IP的445是不通的?
頂多剩下LAN之間的電腦可能互相感染的風險?
a07051226: 阿你因為loop back所以會通445正常2F 05/13 18:58
阿.. 我以為loop back interface也會被block
我試用private IP telnet xxx.xx.xxx.xx 445 也是通
還是這樣也算是走loop back?
a07051226: 別人應該是不會通3F 05/13 18:58
bestpika: 你對防火牆運作方式的理解有錯誤4F 05/13 18:59
bestpika: 防火牆關閉不代表系統不會開 port
bestpika: 而是連線要進來的時候會先被防火牆過濾
bestpika: 允許的才能夠往下面走
B大 我對防火牆的運作方式理解是 service依舊會聽port再由防火牆blocking port
所以應該是沒有理解錯誤的~ 感謝
※ 編輯: PTTCEO (123.194.222.25), 05/13/2017 19:05:42
saysayliam: 請問 是關445port的TCP?還是UDP? 還是都關?8F 05/13 19:04
PTTCEO: 我是關TCP而已耶 SMB應該是TCP protocol?9F 05/13 19:06
munsimli: 問一下b大,是否顯示"LISTENING"也沒關係,雖然port有開10F 05/13 19:07
munsimli: 但還是會被防火牆規則擋下呢?
munsimli: 卡巴防火牆規則是TCP與UDP都封鎖
street11: eset nod32也有擋麼?怕怕的13F 05/13 19:17
bestpika: 你那行「netstat -ao...」看起來就是搞不清楚啊 XD14F 05/13 19:30
bestpika: localhost 走的是 TCP/IP 模組
bestpika: 就跟你 ping localhost 會回應意思一樣
bestpika: 少兩個字 另外 localhost...
bestpika: 然後大概是我看錯你的意思 (?
revon: 樓上,2個都要擋唷19F 05/13 19:45
bestpika: 有 listening 就是服務有開20F 05/13 19:49
bestpika: 在一般使用狀況建議你乾脆把服務給關了
Kitten1156: 所謂的小烏龜直上 指的是用小烏龜撥號 電腦直接取得22F 05/13 20:43
Kitten1156: 實體Ip?

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 177 
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇