[問題] 為何挖礦程式要檔 port 445 ?

作者: drkh (eutatosp)   2018-06-06 09:53:42
家中網路內, 有一台 Win7 桌機, 其他電腦總是無法與其建立連線以取得它的分享.
後來發現, 原來是因為 IPsec 有一條名為 netbc 的 policy 擋住了 port 445
這個 port 是由 Sever Message Block 使用, 進行 File and Printer Sharing.
將這條 policy 移除就可建立連線了.
上網查這條 policy 的來歷, 發現是由挖礦程式 Adylkuzz 建立.
見 https://bit.ly/2JnSjiQ (英文)
這台 Win7 桌機確實在幾個月前曾中過挖礦程式, 被我手動清除了. 雖然中的不是
Adylkuzz, 但這條擋住 port 445 的IPsec policy 應該就是那個挖礦程式建立的,
只是當時沒被我發現, 所以沒清掉.
現在是沒問題了. 可是... 為何挖礦程式要擋住 port 445, 不讓其他電腦連線呢?
我自己猜, 是為了要防止 CPU 分出一部份時間去照顧其他連線的裝置, 可是不確定.
作者: ltytw (ltytw)   2018-06-06 13:16:00
我猜是確保自己是唯一的? 那個應該只擋連入
作者: DINJIAPC (鼎家)   2018-06-06 14:01:00
為何不弄個雙向防火牆管理,例如wfc,tinywall
作者: enthos (影斯作業系統)   2018-06-07 10:06:00
關閉勒索病毒 WannaCry 攻擊的 SMB Port
作者: drkh (eutatosp)   2018-06-07 13:10:00
(1) 那條 policy 確實只檔連入. (2) 那台 Win7 沒啥重要資料用 Windows Firewall 應該足夠了. (3) 關閉 port 445 固然可以擋住 WannaCry, 但同時也關閉了網路分享的功能, 再說...挖礦程式為什麼要代人防堵 WannaCry ?我一直都把上網的 dial-up 連線取消 File and PrinterSharing, 也關閉 NetBIOS over TCP/IP, 這樣一來, 上網的時候, port 445 及 port 137-139 就不會接受來自 Internet的連線, 可以擋掉包括 WannaCry 在內的許多威脅.
作者: brianuser (產業廢棄物)   2018-06-07 14:22:00
會不會是他就想偷偷摸摸來怕你中別的去掃毒去重灌
作者: ltytw (ltytw)   2018-06-07 15:29:00
我認為是預防同業競爭 , 擋了連入,別的對手就進不來了
作者: dennisxkimo (Dennis(一上B就糟糕))   2018-06-07 16:18:00
透過這門進來 把門關好別讓其他的進來
作者: drkh (eutatosp)   2018-06-08 07:24:00
"預防同業競爭"... 此言妙極! 我贊同.不知還有沒有他種病毒也會"獨佔市場"?
作者: GJME ((╯‵□′)╯︵┴─┴)   2018-06-08 11:38:00
有啊 這不少見 特別是那種利用公開漏洞的 入侵之後都會順便把port封起來 甚至還會清除早先一步進來的同業作品
作者: labbat (labbat)   2018-06-09 00:07:00
最古老的電腦病毒就是兩個互相廝殺

Links booklink

Contact Us: admin [ a t ] ucptt.com