作者:
PTTCEO (批踢踢首席執行長)
2017-05-13 18:48:21方才看到這波攻擊是採用SMB漏洞 走port 445
當下直覺是馬上去Windows防火牆新增規則擋掉TCP 445 port
請問是否理論上這樣就應該是可以完全防止這一套Ransomware?
可是詭異的是為何我 telnet localhost 445 依舊是連的上的呢?
netstat -ao 是有看到port 445 listening沒錯 但防火牆應該會block掉阿
家中還有老人在用的電腦 是透過小烏龜PPPoE 然後兩台電腦是吃小烏龜的local Lan
這樣應該就是大家說的沒有port dispatching或者DMZ 相對應該這一波還算安全?
沒記錯小烏龜都是全open阿你因為loop back所以會通445正常別人應該是不會通
作者:
bestpika (飛影‧忌子)
2017-05-13 18:59:00你對防火牆運作方式的理解有錯誤防火牆關閉不代表系統不會開 port而是連線要進來的時候會先被防火牆過濾允許的才能夠往下面走
請問 是關445port的TCP?還是UDP? 還是都關?
作者:
PTTCEO (批踢踢首席執行長)
2017-05-13 19:06:00我是關TCP而已耶 SMB應該是TCP protocol?
作者:
munsimli (口嫌體正直)
2017-05-13 19:07:00問一下b大,是否顯示"LISTENING"也沒關係,雖然port有開但還是會被防火牆規則擋下呢?卡巴防火牆規則是TCP與UDP都封鎖
作者:
bestpika (飛影‧忌子)
2017-05-13 19:30:00你那行「netstat -ao...」看起來就是搞不清楚啊 XDlocalhost 走的是 TCP/IP 模組就跟你 ping localhost 會回應意思一樣少兩個字 另外 localhost...然後大概是我看錯你的意思 (?
作者:
revon (熊)
2017-05-13 19:45:00樓上,2個都要擋唷
作者:
bestpika (飛影‧忌子)
2017-05-13 19:49:00有 listening 就是服務有開在一般使用狀況建議你乾脆把服務給關了
所謂的小烏龜直上 指的是用小烏龜撥號 電腦直接取得實體Ip?
作者:
sa12e3 2017-05-14 19:45:00