一键屏蔽135、137、138、139、445危险端口和服务

一、勒索病毒-永恒之蓝现状简介

2017年5月12日20时左右,国家网络与信息安全信息中心紧急通报:新型病毒从5月12日起在全球范围传播扩散,已影响到包括我国用户在内的多个国家的用户。该勒索病毒利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。勒索病毒感染用户计算机后,将对计算机中的文档、图片等实施高强度加密,并向用户勒索赎金。

国内多所院校和企业出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

国家网络与信息安全中心连接:

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

二、中毒原因分析

1、135/137/138/139/445这些常用端口以及共享服务没有关闭;

端口简介:

135端口:135端口就是RPC通信中的桥梁,该端口被攻击者采用了一种DCOM技术,可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会自动调用目标主机中的RPC服务,而RPC服务将自动询问目标主机中的135端口,并且获取当前有哪些端口可以被用来通信。

137端口:137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。

要是非法入侵者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。例如目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。

138端口:138端口都属于UDP端口,主要作用就是提供NetBIOS环境下的计算机名浏览功能。

非法入侵者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称,其对应的IP地址也就能轻松获得。如此一来,就为黑客进一步攻击系统带来了便利。

139端口:139端口是一种TCP端口,主要作用是通过网上邻居访问局域网中的共享文件或共享打印机。

黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除*作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。

445端口:是一种TCP端口,功能与139端口几乎一致,也是提供局域网中文件或打印机共享服务。

区别就是该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务,所以要关闭文件共享,那么需要同时关闭139和445端口。

2、个人网络安全意识淡漠(不明链接不要点击,不明文件不要下载,不明网站不要访问);

3、没有定期跨本机以外其他渠道备份文档的习惯(比如移动硬盘,网盘等备份渠道);

  • 病毒防范与避免:
  • 公司技术防护层面:

a、出口防火墙上禁止135/137/138/139/445端口,隔绝内部与外部的端口开放;

b、交换机上禁止135/137/138/139/445端口,隔绝内部这些高危端口互通;

c、行为管理上禁止135/137/138/139/445端口,隔绝内部这些高危端口互通;

d、IT部制定员工本机关闭135/137/138/139/445端口的脚本,避免员工感染并传播;

e、IT部将windows核心数据,跨机器渠道保存;

f、增强员工的安全防范意识的宣导力度;

 

3.2  员工防护层面:

a、及时升级Windows操作系统,目前微软公司已发布相关补丁程序MS17-010,可通过微软公司正规渠道进行升级。

b、安装并及时更新杀毒软件。

c、不要轻易打开来源不明的电子邮件。

d、及时关闭计算机、网络设备上的445端口。

e、定期在不同的存储介质上备份计算机上的重要文件。

f、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。

g、使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe

针对目前刷爆整个网络的勒索病毒,我看到网上有很多人在指点怎么防御,但是很多人还是不一定能看明白具体怎么操作,我写了两个简单粗暴的一键执行的脚本,大家有需要的可以找我,免费使用。

一键关闭危险端口和服务:

@echo off

color 0A

title 您正在使用一键屏蔽危险端口和服务

echo 您正在使用一键屏蔽危险端口和服务

echo “Powered by情感iT人--高哥制作,欢迎使用,按任意键继续”

pause

echo"正在帮您关闭这些危险端口,请稍等"

echo “正在开启防火墙服务”

net startMpsSvc

echo ”正在帮您开启防火墙自启动“

sc configMpsSvc start= auto

echo ”正在启用防火墙“

netshadvfirewall set allprofiles state on

echo"正在帮您屏蔽端口,请稍后...."

netshadvfirewall firewall add rule name="deny udp 135 " dir=in protocol=udplocalport=135 action=block

pause

netshadvfirewall firewall add rule name="deny tcp 135" dir=in protocol=tcplocalport=135 action=block

netshadvfirewall firewall add rule name="deny udp 137 " dir=inprotocol=udp localport=137 action=block

netshadvfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcplocalport=137 action=block

netshadvfirewall firewall add rule name="deny udp 138" dir=in protocol=udplocalport=138 action=block

netshadvfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcplocalport=138 action=block

netshadvfirewall firewall add rule name="deny udp 139" dir=in protocol=udplocalport=139 action=block

netshadvfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcplocalport=139 action=block

netshadvfirewall firewall add rule name="deny udp 445" dir=in protocol=udplocalport=445 action=block

netshadvfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcplocalport=445 action=block

echo"恭喜您,危险端口已经屏蔽成功"

echo"下面将帮您关闭勒索病毒相关的危险服务,请稍后...."

echo ”正在关闭Computer Browser的服务“

netstop  Browser

echo ”正在关闭共享服务的服务“

netstop  LanmanServer

echo ”TCP/IP NetBIOS Helper共享服务“

net stoplmhosts

echo ”正在关闭Workstation浏览服务“

net stopLanmanWorkstation

echo"恭喜您,危险端口已经关闭,请您尽快使用360的nsatool工具进行漏洞围堵,然后再执行一键服务和端口的开启脚本"

echo “Powered by情感iT人--高哥制作,感谢您的使用,按任意键退出 ”

pause

一键开启共享端口和服务:

@echo off

color 0A

title 正在开启之前关闭的危险端口和服务

echo title您正在使用一键关闭危险端口和服务

echo “Powered by情感iT人--高哥制作,欢迎使用,按任意键继续”

pause

echo"正在帮您开启之前关闭的危险端口,请稍等"

echo “正在开启防火墙服务”

net startMpsSvc

echo ”开启防火墙自启动“

sc configMpsSvc start= auto

echo ”启用防火墙“

netshadvfirewall set allprofiles state on

echo"正在帮您解禁勒索病毒相关的防火墙规则"

netshadvfirewall firewall delete rule name="deny udp 135 "

netshadvfirewall firewall delete rule name="deny tcp 135"

netshadvfirewall firewall delete rule name="deny udp 137 "

netshadvfirewall firewall delete rule name="deny tcp 137"

netshadvfirewall firewall delete rule name="deny udp 138"

netshadvfirewall firewall delete rule name="deny tcp 138"

netshadvfirewall firewall delete rule name="deny udp 139"

netshadvfirewall firewall delete rule name="deny tcp 139"

netshadvfirewall firewall delete rule name="deny udp 445"

netshadvfirewall firewall delete rule name="deny tcp 445"

echo"恭喜您,共享服务的端口已经打开"

echo"下面将帮您开启共享的服务"

echo ”正在开启Computer Browser的服务“

netstart  Browser

echo ”正在开启共享服务的服务“

netstart  LanmanServer

echo ”TCP/IP NetBIOS Helper共享服务“

net startlmhosts

echo ”正在开启Workstation浏览服务“

net startLanmanWorkstation

echo"恭喜您,相关服务已经全部启动"

echo “Powered by情感iT人--高哥制作,感谢您的使用,按任意键退出”

echo 按任意键退出

pause>nul

时间: 2024-11-12 15:33:50

一键屏蔽135、137、138、139、445危险端口和服务的相关文章

win server服务器 关闭危险端口 135,137,138,139,445的方法

Windows默认开放135.137.138.139和445五个端口,都与文件共享和打印机共享有关的,若机器连接网络后会在用户不知道的情况下泄露本机部分信息,这样会给用户带来一部分危险,所以我们在工作中根据自己的需求定位一下是否需要关闭这些端口,以免带来不必要的损失. 1)137,138----UDP 2) 135,139,445----TCP 下面介绍一下这些端口的用途: 135端口 在许多“网管”眼里,135端口是最让人捉摸不透的端口,因为他们中的大多数都无法明确地了解到135端口的真正作用

win2003从组策略关闭端口(445/135/137/138/139/3389等)教程

一些恶劣的病毒会从某些端口入侵计算机,因此关闭某些用不到的而又具有高风险的端口就显得很有必要,是服务器管理员要做的基本的安全防范.本文将介绍win2003系统在组策略关闭某一个端口的教程,文章以关闭445端口为例. 首先要说明的是,此方法不仅仅适用于win2003,也适用于win7,且操作方法完全相同,所以win7用户也可以按照本文教程操作. 1.打开组策略编辑器 按组合键WIN+R打开运行窗口,然后输入gpedit.msc,按回车键,即可进入组策略编辑器. 2.创建 IP 安全策略 展开选项"

关闭常见危险端口

netsh advfirewall set publicprofile state on >null netsh advfirewall set currentprofile state on >null netsh advfirewall firewall add rule name="135_139_445" protocol=TCP dir=in localport=135,139,445 action=block netsh advfirewall firewall

关闭 135 139 445 转

135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务. 端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码:使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输. 端口漏洞:相信去年很多Windows 2000和Windows

want cry -- 137,139,445

通过wireshark抓包发现smb的请求报文,目的端口为445,没有应答报文 之前设置了"阻止连接"导致smb访问被拒绝.修改为要求对连接进行加密 就可以访问

网吧测试网络安全日志,今天测试了一下,可以使用135 137 等端口进行传马 或者直接留言网站服务器 友情检测了一下,截图以下连接,中国寒龙。

下面是蜗牛攻击器 可以 使整个网吧宽带被占用,左边是 检测  所有局域网中开放端口  135    以及 137端口全部开放 !~虽然设置禁止连接的功能我想进一步渗透用135传马工具就可以了!另外上面的是这个网吧的网站留言,网站留言存在 admini默认名进入  所以也可以使用管理员权限拿服务器 或者是  使用网站漏洞,左侧前面的是:漏洞检测的,检测出来 这个站点的程序确实有上传漏洞存在!~好了具体就不说了 耗费两个多小时检测的!~呵呵那就这样把!!!更多请访问我们的网站:www.hackers

一键屏蔽恶意网站

数据来自恶意网站实验室 http://pan.baidu.com/s/1i5ru1UH

关闭windows系统的危险端口,命令行

netsh advfirewall firewall add rule name=denyDangerTCPPort dir=in protocol=tcp localport=135,137-139,445 action=block netsh advfirewall firewall add rule name=denyDangerUDPPort dir=in protocol=udp localport=135,137-139,445 action=block 原文地址:https://w

CentOS6.x生产环境下一键安装mono+jexus的脚本,自启动,带服务,版本号自控

转自: http://linuxdot.net/bbsfile-3784 1.支持哪些个平台?答:暂时仅支持CentOS6.x平台,7.x未测试,欢迎测试并到群里反馈给我(昵称:无聊人士) 2.一键安装版本暂时支持哪些版本的mono与jexus?答:版本自控,脚本会提示让你自己输入你想要的版本号,非常地自由 3.脚本的下载地址是?答:为了后期的更新,脚本放置在私人的平台上,地址分别是:默认版本(宇内推荐的):http://security.ivannet.com/linux/shell/cent