Antian365 by 終隱
一、前言
前段時間“永恆之藍”勒索病毒肆掠全球。不法分子將泄露的NSA黑客武器庫中“永恆之藍”攻擊程序改造成了蠕蟲病毒用於網絡攻擊。無論公網還是內網電腦存在此漏洞均可被攻破並繼續感染網絡中其它機器。雖然此事件已經過去一段時間了,但最近一段時間又是蠕蟲病毒的高發期。蠕蟲病毒是按指數級擴散速度進行傳播的,說不定下一秒就會感染到自己。所以采取適當措施防止電腦中招就成了緊急而又必要的事情了。
二、端口與服務的關系
服務是指能提供特定功能的一組程序。這些程序通常可以在本地和通過網絡為用戶提供一些服務,例如Web服務、文件服務、數據庫服務,打印機服務等。
一台計算機通常只使用一個IP地址,但卻運行着各種程序。要實現和不同的程序進行通信,就需要對運行的程序進行邏輯編號,這樣計算機就能很好地區分它們了。這種邏輯編號就是端口。計算機可分配的端口范圍為1~65535,一個服務通常情況下默認對應一個端口。而一個軟件通常情況下會存在多個服務,所以一個軟件可能包含多個使用端口。特定服務的端口號默認是固定的,如web服務的默認端口是80端口。當然也可以修改服務的默認端口號,如將遠程連接服務默認的3389端口修改為47554端口,這樣就能規避一些不懷好意的人對端口掃描的風險。而如果我們將某個端口關閉,就能阻止外部程序訪問對應的服務。下面給大家列出一些常見的容易被惡意利用的端口。
三、易被忽視的危險端口
一些端口常常會被木馬病毒用來對計算機系統進行攻擊。常見的能夠對計算機造成嚴重威脅的端口(如23,139,3389端口)一般會引起管理員的重視。但還有一些端口,如135、139,445這類平時不常用的端口可能會被人忽視,而給系統留下安全隱患。以下是這些易被忽視端口的簡要介紹。
135端口:使用遠程過程調用協議提供DCOM(分布式組件對象模型)服務。這個端口提供的服務,可以讓你的計算機遠程執行特定的指令。
139和445端口:Windows主機上文件打印、文件共享等都通過SMB服務來實現,而SMB通過兩種方式運行在139和445端口之上。139端口開啟,在獲取系統賬號密碼的情況下,可以遠程傳輸文件以及執行計划任務。而現在服務存在漏洞,不需要賬號密碼就能執行指令。可以說這是一個很危險的端口,如果沒有文件和打印機共享的需要,最好把這個端口給關閉掉。而即便139端口已經關閉,也可以通過445端口訪問SMB服務。而這次SMB服務出現了漏洞,所以利用445端口照樣可以利用SMB漏洞。這樣電腦就很不安全了,所以建議將445端口也關閉。
永恆之藍這種蠕蟲能夠成功利用windows上的SMB服務(445端口)漏洞,而后植入病毒。所以如果能關閉此類端口就能規避被感染的風險。所以說135、139,445這些端口是容易被惡意攻擊的端口,最好一並關閉。關於關閉這些端口,網上已經有了很多詳實的教程,但是大多步驟繁瑣,操作起來比較麻煩。如果能采用圖形化工具關閉端口就讓這件事情變得輕松而美好。
四、關閉危險端口
windows worms doors cleaner是由微軟員工針對蠕蟲病毒而開發的一款圖形化防護工具,它的防蠕蟲原理是直接關閉常見危險端口和服務,從而達到避免感染的目的。此軟件就只有一個運行程序,使用非常簡單,只需要雙擊圖標即可啟動。啟動后的界面如圖1所示。
主界面有五個服務按鈕的開關,紅色表示危險端口正開啟,綠色表示端口關閉。通過點擊按鈕就可以對相應端口進行關閉和開啟。點擊右側的按鈕可以顯示當前電腦已經打開的端口,包括tcp和udp端口。
端口關閉后會提示重啟生效,如圖2所示。
系統重啟后,端口就被關閉了。此時系統已經可以抵御針對端口漏洞進行攻擊的蠕蟲病毒了。如圖3所示。
至此關閉危險端口的操作就全部完成了,我們可以通過dos命令來驗證端口是否處於關閉狀態。使用netstat –a就可以在命令行下對系統開啟的端口進行查看。
總結:
目前網上流行的關閉端口的方式是批量腳本加系統設置的方法。但是經過這一系列流程下來步驟會顯得十分繁瑣,耗時也較長。圖形化工具為問題提供了系統解決方案,使用起來非常簡單快捷,省時省力。有時解決問題的方法可能有多種,而最簡單的方法往往是最好的方法。