Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

看板AntiVirus (防毒)作者 (批踢踢首席執行長)時間7年前 (2017/05/13 18:48), 7年前編輯推噓5(5019)
留言24則, 9人參與, 最新討論串20/25 (看更多)
方才看到這波攻擊是採用SMB漏洞 走port 445 當下直覺是馬上去Windows防火牆新增規則擋掉TCP 445 port 請問是否理論上這樣就應該是可以完全防止這一套Ransomware? 可是詭異的是為何我 telnet localhost 445 依舊是連的上的呢? netstat -ao 是有看到port 445 listening沒錯 但防火牆應該會block掉阿 家中還有老人在用的電腦 是透過小烏龜PPPoE 然後兩台電腦是吃小烏龜的local Lan 這樣應該就是大家說的沒有port dispatching或者DMZ 相對應該這一波還算安全? -- : 這波看起來很嚴重,如果真的是SMB漏洞的話 : 那只有windows會受到感染,畢竟Linux Mac OS沒有這項服務 : 也就不存在這個漏洞 : 看起來是用445port進去的 : 所以小烏龜直上就等於全部open : 只剩下系統的防火牆,啊有人關掉就直接中了 : 有AP好像還好一點,除非有人開DMZ,又沒有做LAN區隔,就還是會中鏢 : 以上推論,鞭小力點,謝謝指教 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.222.25 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494672504.A.0CF.html

05/13 18:58, , 1F
沒記錯小烏龜都是全open
05/13 18:58, 1F
A大 小烏龜是全open沒錯 但應該如果沒特別導的話等於那個public IP的445是不通的? 頂多剩下LAN之間的電腦可能互相感染的風險?

05/13 18:58, , 2F
阿你因為loop back所以會通445正常
05/13 18:58, 2F
阿.. 我以為loop back interface也會被block 我試用private IP telnet xxx.xx.xxx.xx 445 也是通 還是這樣也算是走loop back?

05/13 18:58, , 3F
別人應該是不會通
05/13 18:58, 3F

05/13 18:59, , 4F
你對防火牆運作方式的理解有錯誤
05/13 18:59, 4F

05/13 18:59, , 5F
防火牆關閉不代表系統不會開 port
05/13 18:59, 5F

05/13 18:59, , 6F
而是連線要進來的時候會先被防火牆過濾
05/13 18:59, 6F

05/13 19:00, , 7F
允許的才能夠往下面走
05/13 19:00, 7F
B大 我對防火牆的運作方式理解是 service依舊會聽port再由防火牆blocking port 所以應該是沒有理解錯誤的~ 感謝 ※ 編輯: PTTCEO (123.194.222.25), 05/13/2017 19:05:42

05/13 19:04, , 8F
請問 是關445port的TCP?還是UDP? 還是都關?
05/13 19:04, 8F

05/13 19:06, , 9F
我是關TCP而已耶 SMB應該是TCP protocol?
05/13 19:06, 9F

05/13 19:07, , 10F
問一下b大,是否顯示"LISTENING"也沒關係,雖然port有開
05/13 19:07, 10F

05/13 19:07, , 11F
但還是會被防火牆規則擋下呢?
05/13 19:07, 11F

05/13 19:09, , 12F
卡巴防火牆規則是TCP與UDP都封鎖
05/13 19:09, 12F

05/13 19:17, , 13F
eset nod32也有擋麼?怕怕的
05/13 19:17, 13F

05/13 19:30, , 14F
你那行「netstat -ao...」看起來就是搞不清楚啊 XD
05/13 19:30, 14F

05/13 19:30, , 15F
localhost 走的是 TCP/IP 模組
05/13 19:30, 15F

05/13 19:31, , 16F
就跟你 ping localhost 會回應意思一樣
05/13 19:31, 16F

05/13 19:31, , 17F
少兩個字 另外 localhost...
05/13 19:31, 17F

05/13 19:32, , 18F
然後大概是我看錯你的意思 (?
05/13 19:32, 18F

05/13 19:45, , 19F
樓上,2個都要擋唷
05/13 19:45, 19F

05/13 19:49, , 20F
有 listening 就是服務有開
05/13 19:49, 20F

05/13 19:49, , 21F
在一般使用狀況建議你乾脆把服務給關了
05/13 19:49, 21F

05/13 20:43, , 22F
所謂的小烏龜直上 指的是用小烏龜撥號 電腦直接取得
05/13 20:43, 22F

05/13 20:43, , 23F
實體Ip?
05/13 20:43, 23F

05/14 19:45, , 24F
文章代碼(AID): #1P5kHu3F (AntiVirus)
討論串 (同標題文章)
文章代碼(AID): #1P5kHu3F (AntiVirus)