一鍵屏蔽135、137、138、139、445危險端口和服務(wù)-創(chuàng)新互聯(lián)

一、勒索病毒-永恒之藍(lán)現(xiàn)狀簡介

創(chuàng)新互聯(lián)公司專注于東山企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站,商城網(wǎng)站開發(fā)。東山網(wǎng)站建設(shè)公司,為東山等地區(qū)提供建站服務(wù)。全流程按需策劃設(shè)計，專業(yè)設(shè)計，全程項目跟蹤，創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

2017年5月12日20時左右，國家網(wǎng)絡(luò)與信息安全信息中心緊急通報：新型病毒從5月12日起在全球范圍傳播擴(kuò)散，已影響到包括我國用戶在內(nèi)的多個國家的用戶。該勒索病毒利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動傳播的特性。勒索病毒感染用戶計算機(jī)后，將對計算機(jī)中的文檔、圖片等實施高強(qiáng)度加密，并向用戶勒索贖金。

              

國內(nèi)多所院校和企業(yè)出現(xiàn)ONION勒索軟件感染情況，磁盤文件會被病毒加密為.onion后綴，只有支付高額贖金才能解密恢復(fù)文件，對學(xué)習(xí)資料和個人數(shù)據(jù)造成嚴(yán)重?fù)p失。

國家網(wǎng)絡(luò)與信息安全中心連接：

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

二、中毒原因分析

1、135/137/138/139/445這些常用端口以及共享服務(wù)沒有關(guān)閉；

端口簡介：

135端口：135端口就是RPC通信中的橋梁，該端口被***者采用了一種DCOM技術(shù)，可以直接對其他工作站的DCOM程序進(jìn)行遠(yuǎn)程控制。DCOM技術(shù)與對方計算機(jī)進(jìn)行通信時，會自動調(diào)用目標(biāo)主機(jī)中的RPC服務(wù)，而RPC服務(wù)將自動詢問目標(biāo)主機(jī)中的135端口，并且獲取當(dāng)前有哪些端口可以被用來通信。

137端口：137端口的主要作用是在局域網(wǎng)中提供計算機(jī)的名字或IP地址查詢服務(wù)，一般安裝了NetBIOS協(xié)議后，該端口會自動處于開放狀態(tài)。

要是非法***者知道目標(biāo)主機(jī)的IP地址，并向該地址的137端口發(fā)送一個連接請求時，就可能獲得目標(biāo)主機(jī)的相關(guān)名稱信息。例如目標(biāo)主機(jī)的計算機(jī)名稱，注冊該目標(biāo)主機(jī)的用戶信息，目標(biāo)主機(jī)本次開機(jī)、關(guān)機(jī)時間等。

138端口：138端口都屬于UDP端口，主要作用就是提供NetBIOS環(huán)境下的計算機(jī)名瀏覽功能。

非法***者要是與目標(biāo)主機(jī)的138端口建立連接請求的話，就能輕松獲得目標(biāo)主機(jī)所處的局域網(wǎng)網(wǎng)絡(luò)名稱以及目標(biāo)主機(jī)的計算機(jī)名稱。有了計算機(jī)名稱，其對應(yīng)的IP地址也就能輕松獲得。如此一來，就為***進(jìn)一步***系統(tǒng)帶來了便利。

139端口：139端口是一種TCP端口，主要作用是通過網(wǎng)上鄰居訪問局域網(wǎng)中的共享文件或共享打印機(jī)。

***要是與目標(biāo)主機(jī)的139端口建立連接的話，就很有可能瀏覽到指定網(wǎng)段內(nèi)所有工作站中的全部共享信息，甚至可以對目標(biāo)主機(jī)中的共享文件夾進(jìn)行各種編輯、刪除*作，倘若***者還知道目標(biāo)主機(jī)的IP地址和登錄帳號的話，還能輕而易舉地查看到目標(biāo)主機(jī)中的隱藏共享信息。

445端口：是一種TCP端口，功能與139端口幾乎一致，也是提供局域網(wǎng)中文件或打印機(jī)共享服務(wù)。

區(qū)別就是該端口是基于CIFS協(xié)議（通用因特網(wǎng)文件系統(tǒng)協(xié)議）工作的，而139端口是基于SMB協(xié)議（服務(wù)器協(xié)議族）對外提供共享服務(wù)，所以要關(guān)閉文件共享，那么需要同時關(guān)閉139和445端口。

2、個人網(wǎng)絡(luò)安全意識淡漠（不明鏈接不要點擊，不明文件不要下載，不明網(wǎng)站不要訪問）；

3、沒有定期跨本機(jī)以外其他渠道備份文檔的習(xí)慣（比如移動硬盤，網(wǎng)盤等備份渠道）；

• 病毒防范與避免：

• 公司技術(shù)防護(hù)層面：

a、出口防火墻上禁止135/137/138/139/445端口，隔絕內(nèi)部與外部的端口開放；

b、交換機(jī)上禁止135/137/138/139/445端口，隔絕內(nèi)部這些高危端口互通；

c、行為管理上禁止135/137/138/139/445端口，隔絕內(nèi)部這些高危端口互通；

d、IT部制定員工本機(jī)關(guān)閉135/137/138/139/445端口的腳本，避免員工感染并傳播；

e、IT部將windows核心數(shù)據(jù)，跨機(jī)器渠道保存；

f、增強(qiáng)員工的安全防范意識的宣導(dǎo)力度；

3.2 員工防護(hù)層面：

a、及時升級Windows操作系統(tǒng)，目前微軟公司已發(fā)布相關(guān)補(bǔ)丁程序MS17-010，可通過微軟公司正規(guī)渠道進(jìn)行升級。

b、安裝并及時更新殺毒軟件。

c、不要輕易打開來源不明的電子郵件。

d、及時關(guān)閉計算機(jī)、網(wǎng)絡(luò)設(shè)備上的445端口。

e、定期在不同的存儲介質(zhì)上備份計算機(jī)上的重要文件。

f、養(yǎng)成良好的網(wǎng)絡(luò)瀏覽習(xí)慣。不要輕易下載和運行未知網(wǎng)頁上的軟件，減少計算機(jī)被***的可能。

g、使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

針對目前刷爆整個網(wǎng)絡(luò)的勒索病毒，我看到網(wǎng)上有很多人在指點怎么防御，但是很多人還是不一定能看明白具體怎么操作，我寫了兩個簡單粗暴的一鍵執(zhí)行的腳本，大家有需要的可以找我，免費使用。

一鍵關(guān)閉危險端口和服務(wù)：

@echo off

color 0A

title 您正在使用一鍵屏蔽危險端口和服務(wù)

echo 您正在使用一鍵屏蔽危險端口和服務(wù)

echo “Powered by情感iT人--高哥制作，歡迎使用，按任意鍵繼續(xù)”

pause

echo"正在幫您關(guān)閉這些危險端口，請稍等"

echo “正在開啟防火墻服務(wù)”

net startMpsSvc

echo ”正在幫您開啟防火墻自啟動“

sc configMpsSvc start= auto

echo ”正在啟用防火墻“

netshadvfirewall set allprofiles state on

echo"正在幫您屏蔽端口，請稍后...."

netshadvfirewall firewall add rule name="deny udp 135 " dir=in protocol=udplocalport=135 action=block

pause

netshadvfirewall firewall add rule name="deny tcp 135" dir=in protocol=tcplocalport=135 action=block

netshadvfirewall firewall add rule name="deny udp 137 " dir=inprotocol=udp localport=137 action=block

netshadvfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcplocalport=137 action=block

netshadvfirewall firewall add rule name="deny udp 138" dir=in protocol=udplocalport=138 action=block

netshadvfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcplocalport=138 action=block

netshadvfirewall firewall add rule name="deny udp 139" dir=in protocol=udplocalport=139 action=block

netshadvfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcplocalport=139 action=block

netshadvfirewall firewall add rule name="deny udp 445" dir=in protocol=udplocalport=445 action=block

netshadvfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcplocalport=445 action=block

echo"恭喜您，危險端口已經(jīng)屏蔽成功"

echo"下面將幫您關(guān)閉勒索病毒相關(guān)的危險服務(wù)，請稍后...."

echo ”正在關(guān)閉Computer Browser的服務(wù)“

netstop Browser

echo ”正在關(guān)閉共享服務(wù)的服務(wù)“

netstop LanmanServer

echo ”TCP/IP NetBIOS Helper共享服務(wù)“

net stoplmhosts

echo ”正在關(guān)閉Workstation瀏覽服務(wù)“

net stopLanmanWorkstation

echo"恭喜您，危險端口已經(jīng)關(guān)閉，請您盡快使用360的nsatool工具進(jìn)行漏洞圍堵，然后再執(zhí)行一鍵服務(wù)和端口的開啟腳本"

echo “Powered by情感iT人--高哥制作，感謝您的使用，按任意鍵退出 ”

pause

一鍵開啟共享端口和服務(wù)：

@echo off

color 0A

title 正在開啟之前關(guān)閉的危險端口和服務(wù)

echo title您正在使用一鍵關(guān)閉危險端口和服務(wù)

echo “Powered by情感iT人--高哥制作，歡迎使用，按任意鍵繼續(xù)”

pause

echo"正在幫您開啟之前關(guān)閉的危險端口，請稍等"

echo “正在開啟防火墻服務(wù)”

net startMpsSvc

echo ”開啟防火墻自啟動“

sc configMpsSvc start= auto

echo ”啟用防火墻“

netshadvfirewall set allprofiles state on

echo"正在幫您解禁勒索病毒相關(guān)的防火墻規(guī)則"

netshadvfirewall firewall delete rule name="deny udp 135 "

netshadvfirewall firewall delete rule name="deny tcp 135"

netshadvfirewall firewall delete rule name="deny udp 137 "

netshadvfirewall firewall delete rule name="deny tcp 137"

netshadvfirewall firewall delete rule name="deny udp 138"

netshadvfirewall firewall delete rule name="deny tcp 138"

netshadvfirewall firewall delete rule name="deny udp 139"

netshadvfirewall firewall delete rule name="deny tcp 139"

netshadvfirewall firewall delete rule name="deny udp 445"

netshadvfirewall firewall delete rule name="deny tcp 445"

echo"恭喜您，共享服務(wù)的端口已經(jīng)打開"

echo"下面將幫您開啟共享的服務(wù)"

echo ”正在開啟Computer Browser的服務(wù)“

netstart Browser

echo ”正在開啟共享服務(wù)的服務(wù)“

netstart LanmanServer

echo ”TCP/IP NetBIOS Helper共享服務(wù)“

net startlmhosts

echo ”正在開啟Workstation瀏覽服務(wù)“

net startLanmanWorkstation

echo"恭喜您，相關(guān)服務(wù)已經(jīng)全部啟動"

echo “Powered by情感iT人--高哥制作，感謝您的使用，按任意鍵退出”

echo 按任意鍵退出

pause>nul

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前名稱：一鍵屏蔽135、137、138、139、445危險端口和服務(wù)-創(chuàng)新互聯(lián)
網(wǎng)頁路徑：http://muchs.cn/article46/dhephg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、ChatGPT、微信公眾號、商城網(wǎng)站、動態(tài)網(wǎng)站、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)