干完这些,下次就不至于手忙脚乱搞应急了!

百家 作者:尖刀制造 2018-02-27 05:19:09

大半夜在外面浪,收到某媒记者妹子的信息,询问关于勒索病毒再次变种的讯息,可能是之前围绕WannaCry说的屁话有点多吧,索性还是再围绕这类的事件再发表一次没有必要的言论,总结一下关于Windows系统中对于这类病毒的应急。


受够了一些借势营销的各种牛逼哄哄的学术应急,技术这事儿吧还是得说人话,对业内的朋友们交流可以无限的专业,这是一种分享精神,对于C端用户我觉得吧,还得说人话,说能听懂的,我在朋友圈发了一句话,最好的应急无非就是6个字,“打补丁,封端口!


这话挺实在的,我觉得也不算是什么玩笑话。


Win的系统里吧,其实有很多在应用里一般用不太着的端口,比如之前的WannaCry在应急响应过程中我们给出的方案就是封闭135、137、138、139、445,其实在日常的生活里,还有一些也不太必要的,如3389、1900、1025、593、123,这些端口需要封闭的有点多,索性我一次性给一个清单。


介绍一下冷知识,科普一下端口这件事,这些事从百度百科各种地方都差不多可以查的到,我也不过是一个大自然的搬运工。


广义方面理解电脑端口大概分为三类:公认端口、注册端口、动态或私有端口。


公认端口(0-1023)主要用来绑定一些系统种固定的应用服务,比如之前的WannaCry利用的445端口,它其实是用于局域网内信息流通数据的端口,通俗一点就是用于文及打印共享的,算是黑客最喜欢的端口之一;


注册端口(1024-49151)松散使用的服务端口,动态使用;


动态或私有端口(49512-65535)理论上可以不存在的,不过很多厂商还是在一些特定的应用里任性使用,比如一些路由器、IOT类产品的调试。


从端口特性可以看的出,注册端口和动态或私有端口这两种端口,都是动态使用的,并无固定应用服务与之对应,所以这里公认端口是入侵者最喜欢的目标。


和几个网络尖刀的兄弟聊了聊,我们在日常为客户运维会建议在IP策略里干掉这些端口:


69端口:TFTP小型文件传输协议使用的端口;


135端口:RPC远程过程调用使用的端口号,可以用来远程代码执行;


137、138、139端口:NETBIOS协议应用,在局域网中提供计算机的名字或IP地址查询服务以及文件共享服务,主要用为共享开放的;


445端口:上面说了用于文及打印共享服务的端口;


593端口:和135其实有点像,DCOM使用的端口号,也可以用来使用远程代码执行;


1025端口:互联网信息服务应用端口,曾被NetSPY木马利用过;


如果是服务运维,还有一些其他的端口要注意:


110端口:用于POP3邮件服务器使用端口,需要就做访问限制,不需要就关;


123端口:网络时间协议,某些老蠕虫病毒曾利用过这个端口;


1900端口:SSDP Discovery Service服务,关了可以勉强防止DDOS;


数据库端口


3306端口:MySQL数据库通信的默认端口,建议更改其他端口来用,不对外开放且仅对个别新人地址开放;


1433、1434端口:是MSSQL数据库通信的默认端口,建议同3306;


2638、5000、4100端口:Sybase数据库通信的默认端口,建议同3306;


1521端口:是Oracle数据库通信的默认端口,建议同3306;


远程端口


21端口:FTP服务端口,改成动态端口,做访问控制;


22端口:SSH远程管理的默认端口,可利用远程执行代码、暴力密码破解、以及DDOS攻击,建议保持SSH版本为最新版本,更改成其他端口号,增强账户登录密码强度,做访问控制;


23端口:Telnet远程管理默认端口,没啥特殊用途就索性关了吧;


3389端口:RDP远程桌面端口,建议同21;


4899端口:Radmin软件远程管理通信端口,建议同21;


5631端口:pcanywhere软件远程管理通信端口,建议同21;


5900、5901端口:VNC软件远程管理通信端口,建议同21;


6000端口:X-windows软件远程管理通信端口,建议同21;


除了过去几年病毒曾使用过的自己设定的动态IP端口,注意上面的这些端口基本就解决了大部分问题,面对变种病毒,既是变种还是新瓶装旧酒没重视导致被再次利用居多,日常除了注意这些端口就是检查各应用版本信息,打补丁!


如果遇到实在凶的厉害的病毒,没关系啊,别开电脑,拔网线啊!


安全行业演员有点多,那些放大问题、博眼球、做内容、借势赚商机的大兄弟啊,多说点大家都听的懂的人话和真话吧!!!



关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接