您的位置:首頁>電影>正文

幹完這些,下次就不至於手忙腳亂搞應急了!

大半夜在外面浪, 收到某媒記者妹子的資訊, 詢問關於勒索病毒再次變種的訊息, 可能是之前圍繞WannaCry說的屁話有點多吧, 索性還是再圍繞這類的事件再發表一次沒有必要的言論, 總結一下關於Windows系統中對於這類病毒的應急。

受夠了一些借勢行銷的各種牛逼哄哄的學術應急, 技術這事兒吧還是得說人話, 對業內的朋友們交流可以無限的專業, 這是一種分享精神, 對於C端用戶我覺得吧, 還得說人話,

Advertisements
說能聽懂的, 我在朋友圈發了一句話, 最好的應急無非就是6個字, “打補丁, 封埠!”

這話挺實在的, 我覺得也不算是什麼玩笑話。

Win的系統裡吧, 其實有很多在應用裡一般用不太著的埠, 比如之前的WannaCry在應急響應過程中我們給出的方案就是封閉135、137、138、139、445, 其實在日常的生活裡, 還有一些也不太必要的, 如3389、1900、1025、593、123, 這些埠需要封閉的有點多, 索性我一次性給一個清單。

介紹一下冷知識, 科普一下埠這件事, 這些事從百度百科各種地方都差不多可以查的到, 我也不過是一個大自然的搬運工。

廣義方面理解電腦埠大概分為三類:公認埠、註冊埠、動態或私有埠。

公認埠(0-1023)主要用來綁定一些系統種固定的應用服務, 比如之前的WannaCry利用的445埠, 它其實是用於局域網內資訊流通資料的埠,

Advertisements
通俗一點就是用於文及列印共用的, 算是駭客最喜歡的埠之一;

註冊埠(1024-49151)鬆散使用的服務埠, 動態使用;

動態或私有埠(49512-65535)理論上可以不存在的, 不過很多廠商還是在一些特定的應用裡任性使用, 比如一些路由器、IOT類產品的調試。

從埠特性可以看的出, 註冊埠和動態或私有埠這兩種埠, 都是動態使用的, 並無固定應用服務與之對應, 所以這裡公認埠是入侵者最喜歡的目標。

和幾個網路尖刀的兄弟聊了聊, 我們在日常為客戶運維會建議在IP策略裡幹掉這些埠:

69埠:TFTP小型檔案傳輸通訊協定使用的埠;

135埠:RPC遠端程序呼叫使用的埠號, 可以用來遠端代碼執行;

137、138、139埠:NETBIOS協定應用, 在局域網中提供電腦的名字或IP位址查詢服務以及檔共用服務,

Advertisements
主要用為共用開放的;

445埠:上面說了用於文及列印共用服務的埠;

593埠:和135其實有點像, DCOM使用的埠號, 也可以用來使用遠端代碼執行;

1025埠:互聯網資訊服務應用埠, 曾被NetSPY木馬利用過;

如果是服務運維, 還有一些其他的埠要注意:

110埠:用於POP3郵件伺服器使用埠, 需要就做訪問限制, 不需要就關;

123埠:網路時間協定, 某些老蠕蟲病毒曾利用過這個埠;

1900埠:SSDP Discovery Service服務, 關了可以勉強防止DDOS;

資料庫埠

3306埠:MySQL資料庫通信的預設埠, 建議更改其他埠來用, 不對外開放且僅對個別新人地址開放;

1433、1434埠:是MSSQL資料庫通信的預設埠, 建議同3306;

2638、5000、4100埠:Sybase資料庫通信的預設埠, 建議同3306;

1521埠:是Oracle資料庫通信的預設埠, 建議同3306;

遠端埠

21埠:FTP服務埠, 改成動態埠,

Advertisements
做存取控制;

22埠:SSH遠端系統管理的默認埠, 可利用遠端執行代碼、暴力密碼破解、以及DDOS攻擊, 建議保持SSH版本為最新版本, 更改成其他埠號, 增強帳戶登錄密碼強度, 做存取控制;

23埠:Telnet遠端系統管理默認埠, 沒啥特殊用途就索性關了吧;

3389埠:RDP遠端桌面埠, 建議同21;

4899埠:Radmin軟體遠端系統管理通訊連接埠, 建議同21;

5631埠:pcanywhere軟體遠端系統管理通訊連接埠, 建議同21;

5900、5901埠:VNC軟體遠端系統管理通訊連接埠, 建議同21;

6000埠:X-windows軟體遠端系統管理通訊連接埠, 建議同21;

除了過去幾年病毒曾使用過的自己設定的動態IP埠, 注意上面的這些埠基本就解決了大部分問題, 面對變種病毒, 既是變種還是新瓶裝舊酒沒重視導致被再次利用居多, 日常除了注意這些埠就是檢查各應用版本資訊,

Advertisements
打補丁!

如果遇到實在凶的厲害的病毒, 沒關係啊, 別開電腦, 拔網線啊!

安全行業演員有點多, 那些放大問題、博眼球、做內容、借勢賺商機的大兄弟啊, 多說點大家都聽的懂的人話和真話吧!!!

喜欢就按个赞吧!!!
点击关闭提示