防火墙关闭445端口,如何看待5月12号爆发在各高校电脑勒索比特币的病毒
防火墙关闭445端口,如何看待5月12号爆发在各高校电脑勒索比特币的病毒?
在刚刚过去的24小时,一轮勒索病毒攻击在全球肆虐。
英国、俄罗斯、意大利相继沦陷
英国方面, 5月12日英国国家医疗服务体系遭遇了大规模网络攻击,多家公立医院的电脑系统几乎同时瘫痪,电话线路也被切断,导致很多急诊病人被迫转移。《每日邮报》称,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。
医院员工称,他们的电脑屏幕上弹出窗口。黑客们发送的消息说,医院的电脑已经被控制,必须缴纳赎金才能阻止所有的文件被删除。
同样的攻击快速蔓延,意大利、俄罗斯相继被勒索病毒攻击。
勒索病毒从何处来?
病毒发行者利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,将2017年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。勒索病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。英国NHS官方宣布,袭击该系统的勒索病毒叫做WannaCry(想哭吗)或Wanna Decryptor(想解锁吗)。
国内方面,校园网成勒索病毒重灾区
国内方面,校园网成勒索病毒肆虐之所。5月12日晚间20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。正直毕业季,北辰提醒广大学子及时备份毕业论文,升级电脑安全等级,避免遭受损失。
据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
为何校园网成重灾区?
360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
如何应对勒索病毒?
针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,(NSA武器库免疫工具:http://dl.360safe.com/nsa/nsatool.exe)免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御。
比特币黑产链?
安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
据外媒报道,与勒索病毒相连的比特币账户已经有了不少进账。由于勒索付费也突显了比特币无法被监管部门追踪的特性。
如何关闭高危端口?
方法一:防火墙关闭高危端口
其一:拒绝所有IP访问135、139、445端口
1、打开“控制面板”→打开“系统和安全”→打开“系统和安全”→打开“windows防火墙”


2、点击“高级设置”

3、选中“入站规则”→鼠标右点击“新建规则”

4、选择“端口” –>下一步

5、在红色框中 特定本地端口 输入“135,139,445” –下一步

6、点击 “阻止连接” –>下一步

7、如果是全选,直接下一步;否则全选之后,下一步

8、起个方便你记忆同时表明该策略目的名字,方便以后修改。

9、最后开启防火墙

其二:允许特定IP访问135、139、445端口
1、打开“控制面板”→打开“系统和安全”→打开“系统和安全”→打开“windows防火墙”


2、点击“高级设置”

3、选中“入站规则”→鼠标右点击“新建规则”

4、选择“端口” –>下一步

5、在红色框中 特定本地端口 输入“135,139,445” –下一步

6、点击 “允许连接” –>下一步

7、如果是全选,直接下一步;否则全选之后,下一步

8、起个方便你记忆同时表明该策略目的名字,方便以后修改。

9、打开刚刚新建的规则,点击“作用域”,点击“添加”。

10、设置允许的IP。

11、最后开启防火墙

方法二:IPsec关闭高危端口
在“开始”菜单选择“运行”,输入“gpedit.msc”后回车,打开本地组策略编辑器。依次展开“计算机配置—windows设置—安全设置—ip安全策略,在 本地计算机”


关闭135端口:在本地组策略编辑器右边空白处 右键单击鼠标,选择“创建IP安全策略”,弹出IP安全策略向导对话框,单击下一步;在出现的对话框中的名称处写“关闭端口”(可随意填写),点击下一步;对话框中的“激活默认响应规则”选项不要勾选,然后单击下一步;勾选“编辑属性”,单击完成。





在出现的“关闭端口 属性”对话框中,选择“规则”选项卡,去掉“使用 添加向导”前边的勾后,单击“添加”按钮。

在弹出的“新规则 属性”对话框中,选择“IP筛选器列表”选项卡,单击左下角的“添加”

出现添加对话框,名称出填“封135”(可随意填写),去掉“使用 添加向导”前边的勾后,单击右边的“添加”按钮

在出现的“IP筛选器 属性”对话框中,选择“地址”选项卡,“源地址”选择“任何”,“目标地址”选择“我的IP地址”; 选择“协议”选项卡,各项设置如图片中所示。设置好后点击“确定”。


返回到“ip筛选器列表”,点击“确定”。返回到“新规则 属性”对话框

在ip筛选器列表中选择刚才添加的“封端口”,然后选择“筛选器操作”选项卡,,去掉“使用 添加向导”前面的勾,单击“添加”按钮


在“筛选器操作 属性”中,选择“安全方法”选项卡,选择“阻止”选项;在“常规”选项卡中,对该操作命名,点确定


选中刚才新建的“135”,单击关闭,返回到“关闭端口 属性“对话框,确认“IP安全规则”中 封端口 规则被选中后,单击 确定


成功添加“135”规则。
关闭139端口:在组策略编辑器中,可以看到刚才新建的“关闭端口”规则,选择“规则”选项卡,去掉“使用 添加向导”前边的勾后,单击“添加”按钮。

在弹出的“新规则 属性”对话框中,选择“IP筛选器列表”选项卡,单击左下角的“添加”

出现添加对话框,名称出填“封139”(可随意填写),去掉“使用 添加向导”前边的勾后,单击右边的“添加”按钮

在出现的“IP筛选器 属性”对话框中,选择“地址”选项卡,“源地址”选择“任何”,“目标地址”选择“我的IP地址”; 选择“协议”选项卡,各项设置如图片中所示。设置好后点击“确定”。


返回到“ip筛选器列表”,点击“确定”。返回到“新规则 属性”对话框

在ip筛选器列表中选择刚才添加的“封139”,然后选择“筛选器操作”选项卡,,去掉“使用 添加向导”前面的勾,单击“添加”按钮


在“筛选器操作 属性”中,选择“安全方法”选项卡,选择“阻止”选项;在“常规”选项卡中,对该操作命名,点确定


选中刚才新建的“139”,单击关闭,返回到“关闭端口 属性“对话框,确认“IP安全规则”中 封端口 规则被选中后,单击 确定


成功添加“139”规则。
关闭445端口:在组策略编辑器中,可以看到刚才新建的“关闭端口”规则,选择“规则”选项卡,去掉“使用 添加向导”前边的勾后,单击“添加”按钮。

在弹出的“新规则 属性”对话框中,选择“IP筛选器列表”选项卡,单击左下角的“添加”

出现添加对话框,名称出填“封445”(可随意填写),去掉“使用 添加向导”前边的勾后,单击右边的“添加”按钮

在出现的“IP筛选器 属性”对话框中,选择“地址”选项卡,“源地址”选择“任何”,“目标地址”选择“我的IP地址”; 选择“协议”选项卡,各项设置如图片中所示。设置好后点击“确定”。


返回到“ip筛选器列表”,点击“确定”。返回到“新规则 属性”对话框

在ip筛选器列表中选择刚才添加的“封445”,然后选择“筛选器操作”选项卡,,去掉“使用 添加向导”前面的勾,单击“添加”按钮


在“筛选器操作 属性”中,选择“安全方法”选项卡,选择“阻止”选项;在“常规”选项卡中,对该操作命名,点确定


选中刚才新建的“445”,单击关闭,返回到“关闭端口 属性“对话框,确认“IP安全规则”中 封端口 规则被选中后,单击 确定


成功添加“445”规则。

点击“确认”之后可以看到“关闭端口”规则,选中它并单击鼠标右键,选择“分配”选项,使该规则开始应用!(分配完后建议重启一下计算机).
为什么我用netuse连接出现未知的用户名或密码错误?
您说的是IPC连接。IPC连接条件 ★跟操作系统相关(NT/2000/XP可以建立ipc$连接,98/ME不能建立ipc$连接); ★目标主机必须要开启ipc$共享; ★本地主机必须要启动Lanmanworkstation服务(功能为提供网络链结和通讯); ★目标主机必须要启动Lanmanserver服务(ipc$依赖于此服务,它提供了RPC支持、文件、打印以及命名管道共享); ★目标主机必须要启动NetLogon,它支持网络上计算机pass-through帐户登录身份; ★目标主机应该启动NBT(打开139端口); ★目标主机防火墙配置(如果屏蔽139和445端口也将导致连接失败); ★用户名或者密码错误; ★命令输入错误(特别要注意空格的输入,用户名和密码中不包含空格时两边的双引号可以省略,密码为空,直接输入两个引号""); ★建立好连接后目标主机重启,ipc$连接会自动断开。连接错误号分析 错误号5:拒绝访问,权限不够; 错误号51:无法找到网络路径(网络有问题); 错误号53:找不到网络路径(ip地址错误;目标主机未开机;目标主机lanmanserver服务未启动;目标主机防火墙设置过滤端口); 错误号67:找不到网络名(本地主机中lanmanworkstation服务未启动或者目标主机删除了ipc$); 错误号1219:提供的凭据与已存在的凭据集冲突(已经建立了一个ipc$,可以删除再连); 错误号1326:用户名或密码错误; 错误号1792:试图登录,网络登录服务没有启动(目标主机中NetLogon服务未启动); 错误号2242:该用户的密码已经过期。常用口令 ★建立空连接:netuse\\IP\ipc$""/user:"" ★建立非空连接:netuse\\IP\ipc$"password"/user:"username" ★查看远程主机的共享资源(但看不到默认共享)netview\\IP ★查看本地主机的共享资源(可以看到本地的默认共享)netshare ★得到远程主机的用户名列表nbtstat-AIP ★得到本地主机的用户列表netuser ★查看远程主机的当前时间nettime\\IP ★显示本地主机当前服务netstart ★启动/关闭本地服务netstart服务名/ynetstop服务名/y ★映射远程共享:netusez:\\IP\sihochina此命令将共享名为sihochina的共享资源映射到z盘 ★删除共享映射netusez:/del/y删除映射的z盘netuse*/del/y删除全部 ★向远程主机复制文件copy\路径\*.exe\\IP\共享目录名,如:copysihochina.exe\\IP\c将当前目录下的sihochina.exe复制到对方c盘内 ★远程添加计划任务at\\ip时间程序名,如:at\\192.168.0.111:00sihochina.exe11:00在主机192.168.0.1上运行sihochina.exe
windows配置远程访问服务显示无权限访问网络资源?
这个问题我经常出现!一般都很好解决的,照以下方法试试看!希望能对你有所帮助!
在局域网内 XP不能和 98的电脑互相访,2K和2K、XP与XP也不能互相通信。在工作站访问服务器时,工作站的“网上邻居”中可以看到服务器的名称,但是点击后却无法看到任何共享内容,或者提示找不到网络路径、无权访问等问题,归纳为以下几点:
如果是XP的话,在首次使用的时候要在网上邻居的属性里面进行网络安装向导。
1、检查计算机之间的物理连接。
网卡是否安装正确,在系统中是否存在资源冲突。交换机或者集线器等网络设备是否正常工作。网线是否都是通的,接法是不是正确(如果有中心节点的局域网,网线要用直通线,两头都是用568B的接法;双机通过网卡直接互联,网线应该用交叉线,一头为568A,一头为568B;没有UP-link端口的集线器级联要用交叉线,交换机和集线器级联,交换机和交换机级联都用直通线。568A接法:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;568B接法:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕)。
2、确保所有计算机上都安装了TCP/IP协议,并且工作正常。
检测 TCP/IP协议是否正常工作,可以PING 127.0.0.1,如果ping通,证明正常。
在98和2k中添加删除协议是很简单,这里就不介绍了。但是该协议是Microsoft XP/ 2003的核心组件,是不能删除(不信你可以到XP里,卸载的按钮是灰色不可用的)。但是我们可以使用netshell实用程序使TCP/IP协议恢复到初次安装操作系统时的状态。
在命令提示符里运行该命令:
netsh int ip reset c:\resetlog.txt,
其中,Resetlog.txt记录命令结果的日志文件,一定要指定,这里指定了Resetlog.txt日志文件及完整路径。运行此命令的结果与删除并重新安装TCP/IP协议的效果相同。
3、使用ping命令测试网络中两台计算机之间的连接和网络中名称解析是否正常
ping对方IP是很简单的,这里不多说了,不明白的自己上网搜资料去。ping名称格式ping 计算机的名称。通过ping命令用名称测试计算机连接,确定计算机的名称的方法是:在命令提示符处,输入SYSTEMINFO。或者在桌面上右击我的电脑-属性,然后单击计算机名称。如果看到该命令的成功答复,说明您在计算机之间具有基本连接和名称解析。
4、正确设置网络:
IP地址是否在同一个子网内。在TCP/IP协议上是否捆绑NETBIOS解析计算机名(在TCP/IP协议属性——高级——WINS——选择启用TCP/IP上的NetBios)。
查看是否选定“文件和打印服务”组件,所有计算机也都必须启用“文件和打印共享”。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。如果在网上邻居中看不到自己的机器,说明你没有安装打印机与文件共享。
5、启动"计算机浏览器"服务
WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理->服务和应用程序->服务,查看“Computer Browser”没有被停止或禁用。
6、运行网络标识向导,将你的计算机加入局域网
控制面板——系统——计算机名,单击“网络 ID”,开始“网络标识向导”下一步之后,选择第一项“本机是商业网络的一部分,用它连接到其他工作着的计算机”;继续“下一步”,选择“公司使用没有域的网络”;再下一步,就输入你的局域网的工作组的名称。完成之后,重新启动计算机!
7、Win2k和XP安装NetBEUI协议
在Win2k和XP中NetBEUI协议是一个高效协议在局域网中使,因此最好能安装此协议
2K中的安装:网上邻居->属性->本地连接->属性---->安装------>协议------->NetBEUI Protocol
NetBEUI 通讯协议已不是 Windows XP 的一部份 ,但仍然将它保存在 Windows XP 的光盘内, 安装办法如下:
将 Windows XP 的光盘放入光驱内,并开启 \\VALUEADD\\MSFT\\NET\\NETBEUI 目录;
复制 nbf.sys 到 %SYSTEMROOT%\\SYSTEM32\\DRIVERS\\ 目录
复制 netnbf.inf 到 %SYSTEMROOT%\\INF\\ 目录
网上邻居——属性——本地连接——属性——安装——协议—— 选NetBEUI Protocol——添加,便进行安装 重新启动电脑生效
8、启用Guest(来宾)帐户
XP和2k的Guest帐户允许其他人使用你的电脑,但不允许他们访问特定的文件,也不允许他们安装软件。可以使用下面的命令授予来宾帐户网络访问:
net user guest /active:yes
或者打开控制面板->用户帐户或者在管理工具->计算机管理->本地用户和组中打开Guest帐户
9、查看本地安全策略设置是否允许Guest(来宾)帐号从网络上访问。
在运行里输入gpedit.msc,弹出组策略管理器,在‘计算机配置-Windows设置-本地策略-用户权利指派’中,有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机,如果其中有GUEST帐号,解决办法是删除拒绝访问中的GUEST帐号。或者在“从网络上访问该计算机”添加帐号
10、正确设置防火墙:
确保WINXP自带的防火墙没有开启,打开本地连接属性->高级,关掉Internet连接防火墙。如果使用了第三方的防火墙产品,参考其使用手册,确保防火墙没有禁用以下端口:UDP-137、UDP-138、TCP-139、TCP-445。
11、检查RPC、Plug and Play服务已启动,检查相应的系统文件夹的权限,重新注册以下的动态链接库:
regsvr32 netshell.dll
regsvr32 netcfgx.dll
regsvr32 netman.dll
12、设置帐号和密码
由于WinNT内核的操作系统,在访问远程计算机的时候,好像总是首先尝试用本地的当前用户名和密码来尝试,可能造成无法访问,可以在要访问的计算机中把用户密码添加进去,并在‘计算机配置-Windows设置-本地策略-用户权利指派’中,在“从网络上访问该计算机”中添加用户就可以了。
13、尝试用多种方法访问“网络计算机”
通过IP访问,在地址栏上输入在地址输入栏中输入“\\IP地址\”,单击“确定”。 通过计算机用计算机名访问,在地址栏输入“\\计算机名字\”,单击“确定”。
用搜索计算机的方法访问,计算机更新列表需要时间,搜索计算机可以加快更新列表。点击“网上邻居”右键中的“搜索计算机”,输入计算机名,点击“立即搜索”,就可以看到你要访问的计算机。直接双击右边计算机名就可以打开它了。
用映射驱动器的方法访问,进入命令提示符,输入“NET VIEW \计算机名”,回车这是查看对方计算机上有哪些共享文件夹,如E。再输入NET USE Z:\计算机名字\E将对方计算机共享的文件夹E映射为H:盘,在命令提示符下键入“H:”。你会发现你已经连到计算机上了。
14、改变网络访问模式:
打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
现在,当其他用户通过网络访问使用Windows XP的计算机时,就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。
当该策略改变后,文件的共享方式也有所变化,在启用“经典:本地用户以自己的身份验证”方式后,我们可以对同时访问共享文件的用户数量进行限制,并能针对不同用户设置不同的访问权限。
但是用户的口令为空时,访问还是会被拒绝。这是应为在“安全选项”中有一个“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。
附录一:关于IPX/SPX协议
IPX/SPX协议本来就是Novell开发的专用于NetWare网络中的协议。但为什么要在windows LAN内有它的身影呢??除了为了支持路由到NetWare网络之外,另外就是因为大部分可以联机的游戏都支持IPX/SPX协议,比如以前的红色警戒、罗马帝国、还有现在的星际争霸,反恐精英等等。虽然这些游戏通过TCP/IP协议也能联机,但是通过IPX/SPX协议更省事,因为根本不需要任何设置就可以正常联机了!
除此之外,IPX/SPX协议在局域网络中就没有别的用途了,如果确定不在局域网中联机玩游戏或者要通过路由器路由到NetWare网络,那么这个协议是不必要的。
附录二:TCP/IP协议和NETbios、NETBUEI协议简单介绍:
网络协议有上千种之多,遍及OSI通信模型的七个层次,从我们非常熟悉的TCP/IP、HTTP、FTP协议,到NetBEUI(NETBIOS)、 IPX/SPX OSPF、IGP等协议!对于普通用户而言,是不需要关心太多的底层通信协议的,因为在实际中,底层通信协议一般会自动工作,不需要特别的设置。但是对于第三层以上的协议,就不同了!例如TCP/IP协议一般就需要设置才能正常工作。
TCP/IP作为互联网的基础协议(在局域网上当然也能畅通无阻的),没有它就根本不可能上网,任何和互联网有关的工作都离不开TCP/IP协议。不过TCP/IP协议也是这三大协议中配置起来最麻烦的一个,单机上网还好,通过局域网访问互联网的话,就要详细设置IP地址,网关,子网掩码,DNS服务器了(要不你就在服务器上大展拳脚,设置DHCP咯!不过一样麻烦)。
虽然TCP/IP照样适用于局域网,但在局域网中的它的通信效率的稳定性都不高,所以有些朋友使用它在浏览“网上邻居”中的计算机时,会出现不能正常浏览的现象。所以就要安装NetBEUI协议了。
这里先和大家介绍一下NetBEUI和NETBIOS的区别,其实NetBEUI(NetBios Enhanced User Interface) 英文直译就是NetBios增强用户接口。是NetBIOS协议的增强版本。
而NetBIOS协议(NetWork Basic Input/Output System)直译为网络基本输入/输出系统,是由IT的大佬IBM公司开发的局域网基础的协议!
如果是老玩家的话就知道了,用windows98以前的操作系统上internet的时候,往往要自己添加TCP/IP协议,这是因为windows98之前的操作系统的缺省协议是NetBEUI而不是TCP/IP。呵呵,是不是和现在倒过来呢?可见internet发展的迅速啊!
NetBEUI协议是一种短小精悍、通信效率高的广播型协议,它不需要进行任何设置,特别适合于在“网络邻居”传送数据。可以说它是专为小型局域网设计的网络协议,对那些无需跨经路由器与大型主机通信和连接internet的小型局域网,往往安装NetBEUI协议就绰绰有余了。
如何关闭电脑的某个端口如445端口?
在防火墙高级设置中设置相关入站规则。
见图:
按照指引下一步到底即可。
