個名為“想哭”的勒索軟件12日襲擊了全球上百個國家和地區(qū)使用微軟視窗操作系統(tǒng)的電腦。相關(guān)危害還在擴(kuò)散,對此,國家網(wǎng)絡(luò)與信息安全信息通報中心發(fā)布了緊急通報,建議相關(guān)用戶可打開并啟用Windows防火墻,進(jìn)入"高級設(shè)置",禁用"文件和打印機(jī)共享"設(shè)置;或啟用個人防火墻關(guān)閉445以及135、137、138、139等高風(fēng)險端口。
那么大家的問題也來了,很多人表示對不會操作,在此,警察蜀黍特地附上操作圖,希望能給不會設(shè)置的朋友們帶來幫助。
35端口是用于遠(yuǎn)程過程調(diào)用 (RPC) 協(xié)議的默認(rèn)端口。RPC是一種用于不同計算機(jī)之間進(jìn)行通信和交互的協(xié)議,它允許遠(yuǎn)程程序調(diào)用和執(zhí)行。以下是135端口的主要功能和潛在危害:
功能:
遠(yuǎn)程管理:135端口提供了遠(yuǎn)程管理功能,允許管理員通過網(wǎng)絡(luò)遠(yuǎn)程管理和操作其他計算機(jī)。這包括執(zhí)行命令、安裝軟件、配置系統(tǒng)設(shè)置等。
分布式應(yīng)用程序:RPC協(xié)議通過135端口允許分布式應(yīng)用程序在不同計算機(jī)之間進(jìn)行通信和數(shù)據(jù)交換。這使得開發(fā)分布式系統(tǒng)和應(yīng)用程序變得更加方便和靈活。
遠(yuǎn)程文件訪問:RPC協(xié)議可以通過135端口提供遠(yuǎn)程文件訪問功能,允許用戶在本地計算機(jī)上訪問遠(yuǎn)程計算機(jī)上的文件和共享資源。
遠(yuǎn)程注冊表編輯:通過RPC協(xié)議和135端口,管理員可以遠(yuǎn)程訪問和編輯其他計算機(jī)上的注冊表,這對于配置和管理多臺計算機(jī)非常有用。
危害:
安全漏洞利用:由于RPC協(xié)議廣泛使用并與許多服務(wù)和應(yīng)用程序集成,因此135端口可能成為攻擊者利用的目標(biāo)。存在針對RPC協(xié)議的安全漏洞,攻擊者可以通過利用這些漏洞執(zhí)行遠(yuǎn)程代碼、拒絕服務(wù)攻擊或進(jìn)行未經(jīng)授權(quán)的訪問。
病毒和蠕蟲傳播:某些病毒和蠕蟲利用RPC協(xié)議和135端口進(jìn)行傳播。它們可以利用系統(tǒng)中存在的安全漏洞,通過遠(yuǎn)程執(zhí)行代碼來感染其他計算機(jī)或網(wǎng)絡(luò)。
拒絕服務(wù)攻擊:攻擊者可以通過向目標(biāo)計算機(jī)發(fā)送大量無效的RPC請求來進(jìn)行拒絕服務(wù)攻擊。這可能導(dǎo)致系統(tǒng)資源耗盡,使目標(biāo)計算機(jī)無法正常工作。
135端口是Windows操作系統(tǒng)上的RPC端口,它與一些重要的組件和服務(wù)相關(guān)聯(lián)。以下是與135端口相關(guān)的一些主要組件和服務(wù)以及它們之間的依賴關(guān)系:
RPC服務(wù)(RpcSs):RPC服務(wù)是Windows操作系統(tǒng)中的核心服務(wù),它充當(dāng)了所有RPC通信的中介。它偵聽在135端口上,接收來自其他計算機(jī)的RPC請求并將其轉(zhuǎn)發(fā)到目標(biāo)服務(wù)。其他所有與RPC相關(guān)的組件和服務(wù)都依賴于RPC服務(wù)。
DCOM(分布式組件對象模型):DCOM是一種Microsoft提供的基于RPC的通信技術(shù),它允許不同計算機(jī)上的應(yīng)用程序進(jìn)行交互。DCOM依賴于RPC服務(wù)來處理遠(yuǎn)程過程調(diào)用。
服務(wù)控制管理器(SCM):服務(wù)控制管理器是Windows操作系統(tǒng)中負(fù)責(zé)管理和控制系統(tǒng)服務(wù)的組件。它通過RPC通信與RPC服務(wù)進(jìn)行交互,以啟動、停止或管理其他服務(wù)。
Windows管理工具:一些Windows管理工具(如遠(yuǎn)程注冊表編輯器、遠(yuǎn)程事件查看器等)也依賴于RPC服務(wù)來執(zhí)行遠(yuǎn)程操作。這些工具使用RPC協(xié)議通過135端口與目標(biāo)計算機(jī)進(jìn)行通信。
關(guān)閉135端口可能會對系統(tǒng)的一些功能和應(yīng)用程序產(chǎn)生影響。以下是可能受到影響的方面:
遠(yuǎn)程管理功能:關(guān)閉135端口可能會導(dǎo)致無法進(jìn)行遠(yuǎn)程管理,因為許多遠(yuǎn)程管理工具和協(xié)議都需要通過135端口進(jìn)行通信。
分布式應(yīng)用程序:在分布式應(yīng)用程序中,許多組件和服務(wù)需要使用RPC協(xié)議通過135端口進(jìn)行通信,關(guān)閉135端口可能會破壞這些應(yīng)用程序的正常運(yùn)行。
遠(yuǎn)程文件訪問:關(guān)閉135端口可能會使得一些遠(yuǎn)程文件訪問和共享功能無法正常工作。
遠(yuǎn)程注冊表編輯功能:許多遠(yuǎn)程注冊表編輯工具需要使用RPC協(xié)議通過135端口進(jìn)行通信,關(guān)閉此端口將可能使得這些工具無法使用。
安全性:關(guān)閉135端口可能會增加系統(tǒng)安全漏洞的風(fēng)險,因為許多惡意軟件和攻擊者利用此端口以執(zhí)行遠(yuǎn)程代碼、拒絕服務(wù)攻擊或進(jìn)行未經(jīng)授權(quán)的訪問。
就搜集了如何關(guān)閉445端口的方法,下面分享出來一起學(xué)習(xí)。
先了解一下445端口:
445端口是net File System(CIFS)(公共Internet文件系統(tǒng)),445端口是一個毀譽(yù)參半的端口,他和139端口一起
是IPC$入侵的主要通道。有了它我們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機(jī),但也正是因為有了它,
黑客們才有了可乘之機(jī),他們能通過該端口偷偷共享你的硬盤,甚至?xí)谇臒o聲息中將你的硬盤格式化掉!我們所能
做的就是想辦法不讓黑客有機(jī)可乘,封堵住445端口漏洞。
主要有三種方法,第一種通過防火墻比較簡單;第二種通過注冊表也很簡單;第三種稍微復(fù)雜一點通過修改ip安全
策略,所以這里沒有寫出來,前兩種就夠用了。但第一種我用的時候沒有效果,為了方便大家可以直接用第二種方法。
方法一:
通過防火墻可以直接關(guān)閉的,很簡單,在控制面板的“Windows 防火墻”頁面左側(cè)找到“高級設(shè)置”打開。
在“高級安全 windows 防火墻”頁面 左側(cè) 找到 “入站規(guī)則”右鍵點擊“新建規(guī)則”。
選擇“端口”。 點擊下一步。
這里要關(guān)閉什么端口就輸入到“特定本地端口”一次關(guān)一個,方法都是一樣的。然后點擊“下一步”。
TCP/UDP他們各自的端口號是相互獨立的,列如 TCP可以有個255端口,UDP也可以有個255端口,他們兩者并不沖突
端口135,139,445屬于TCP
端口137,138屬于UDP
選擇“阻止鏈接”。點擊“下一步”。
留下“公用”即可(這里為了安全我也選了專用)。
名稱和描述自己就隨便起了,已經(jīng)完成了
這么簡單的方法用了之后好像不太管用,查看命令行445端口仍然處于listing狀態(tài)???(為什么這樣我也不知道)
然后又用了第二種網(wǎng)上流行的修改注冊表的方法,也很簡單。
方法二
1、運(yùn)行regedit打開注冊表
2、依次依次點擊注冊表選項”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“,進(jìn)入NetBT這個
服務(wù)的相關(guān)注冊表項。
3、在右邊空白處右擊新建“QWORD(64位)值”,然后重命名為“SMBDeviceEnabled”,再把這個子鍵的值改為0。
4、之后win7還要在service中設(shè)置
依次點擊“開始”,“運(yùn)行”,輸入services.msc,進(jìn)入服務(wù)管理控制臺。然后,找到server服務(wù),雙擊進(jìn)入管理控制頁面。把這個
服務(wù)的啟動類型更改為“禁用”,服務(wù)狀態(tài)更改為“停止”,最后點擊應(yīng)用即可。
現(xiàn)在就已經(jīng)關(guān)閉了445端口。
重啟后,我們來檢查445是否已經(jīng)關(guān)閉
cmd命令行中輸入“netstat -an”查看端口狀態(tài),但如果直接輸入會無法識別netstat命令。所以要“cd c:/windows/system32/”切換,然后再執(zhí)行
上述命令,發(fā)現(xiàn)445端口已經(jīng)不存在了,就是已經(jīng)關(guān)閉了。
之后,出于好奇我又詳細(xì)了解了一下445端口的作用及其入侵的原理
下面附一個445端口入侵詳解
最后再附一個關(guān)閉135,139的鏈接:https://jingyan.baidu.com/article/0aa22375bf88b288cc0d6490.html