Кръв, фактът, че вашата защитна стена показва, че svchost.exe слуша този порт, не означава, че той е отворен за връзка отвън.
Правилата изглеждат написани и трябва да работят.
Пробвал ли си порт скенери? - TsOB (Център за осигуряване на сигурност) (клауза 2.7)
И не забравяйте, че IPv6 все още ще трябва да бъде проверен, защото. той е активиран във вашата система, но скенерите обикновено проверяват само IPv4 (говоря за централизирани услуги).
Ако този протоколизобщо не ви трябва, тогава можете да го изключите:
Източник - http://support.microsoft.com/kb/929852За да деактивирате IP версия 6 компоненти в Windows Vista, следвайте стъпките по-долу.
1. Щракнете върху бутона Старт, въведете regedit в полето Начало на търсене, след което изберете regedit.exe от списъка с програми.
2. В диалоговия прозорец Контрол на потребителските акаунти щракнете върху Продължи.
3. Намерете и изберете следния подключ на системния регистър:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
4. Щракнете двукратно върху DisabledComponents, за да промените настройката DisabledComponents.
Забележка. Ако параметърът DisabledComponents не е наличен, той трябва да бъде създаден. За да направите това, следвайте стъпките по-долу.
1. В менюто Редактиране изберете Ново и след това DWORD (32-битова) стойност.
2. Въведете DisabledComponents и натиснете ENTER.
3. Щракнете двукратно върху DisabledComponents.
5. Въведете някоя от следните стойности, за да конфигурирате IP версия 6, след което щракнете върху OK.
1. Въведете 0, за да активирате всички компоненти IP версия 6.
Забележка. Стойността "0" се използва по подразбиране.
2. Въведете 0xffffffff, за да деактивирате всички компоненти на IP версия 6, с изключение на интерфейса за обратна връзка. С тази стойност Windows Vista също ще използва IP версия 4 в правилата за префикс вместо IPv6.
3. Въведете 0x20, за да използвате префикса IP версия 4 в правилата вместо IP версия 6.
4. Въведете 0x10, за да деактивирате собствените интерфейси на IP версия 6.
5. Въведете 0x01, за да деактивирате всички IP версия 6 тунелни интерфейси.
6. Въведете 0x11, за да деактивирате всички интерфейси IP версия 6, с изключение на интерфейса за обратна връзка.
Бележки
* Използването на стойности, различни от 0x0 или 0x20, може да доведе до неуспех на услугата за маршрутизиране и отдалечен достъп.
* Трябва да рестартирате компютъра си, за да влязат в сила промените.
Информацията в тази статия се отнася за следните продукти.
*Windows Vista Enterprise
*Windows Vista Enterprise 64-битово издание
*64-битово издание на Windows Vista Home Basic
* Windows Vista Home Premium 64-битово издание
*64-битово издание на Windows Vista Ultimate
*Windows Vista Business
*Windows Vista Business 64-битово издание
*Windows Vista Home Basic
*Windows Vista Home Premium
* Windows Vista Starter
* Windows Vista Ultimate
*Windows 7 Enterprise
* Windows 7 Home Basic
*Windows 7 Home Premium
*Windows 7 Professional
*Windows 7 Ultimate
* Windows сървър 2008 R2 Център за данни
* Windows Server 2008 R2 Enterprise
* Windows Server 2008 R2 Standard
*Център за данни на Windows Server 2008
*Windows Server 2008 Enterprise
* Windows Server 2008 Standard
След прекъсване на връзката и рестартиране, имате от списъка, получен от командата ipconfig /всичкикуп допълнителни линии ще изчезнат и ще останат само интерфейсите, които познавате добре.
Извършва се обратното включване просто премахванесъздаден ключ от системния регистър или като замените стойността с "0" и след това рестартирате.
Всеки ден собствениците на компютри се сблъскват с огромен брой опасни програмии вируси, които по един или друг начин попадат върху HDDи да станат причина за изтичане на важни данни, повреда на компютъра, кражба на важна информация и други неприятни ситуации.
Най-често се заразяват компютри, работещи на Windows от всяка версия, независимо дали е 7, 8, 10 или друга. Основната причина за тази статистика са входящите компютърни връзки или „портове“, които са слаба точкавсяка система поради нейната наличност по подразбиране.
Думата "порт" е термин, който се отнася до серийния номер на входящите връзки, които са насочени към вашия компютър от външен софтуер. Често се случва тези портове да използват вируси, които лесно проникват във вашия компютър чрез IP мрежа.
Вирусен софтуер, след като влезе в компютъра чрез такива входящи връзки, той бързо заразява всички важни файлове, не само потребителски, но и системни. За да избегнете това, ви препоръчваме да затворите всички стандартни портове, които могат да станат вашето уязвимо място при атака от хакери.
Кои портове са най-уязвими в Windows 7-10?
Многобройни проучвания и анкети на експерти показват, че до 80% от злонамерените атаки и хакове са възникнали с помощта на четирите основни порта, използвани за бързо прехвърляне на файлове между различни версии на Windows:
- Изисква се TCP порт 139 за дистанционна връзкаи компютърно управление;
- TCP порт 135, предназначен за изпълнение на команди;
- TCP порт 445 за бърз трансфер на файлове;
- UDP порт 137, през който бързо търсенена компютър.
Затворете портове 135-139 и 445 в Windows
Каним ви да се запознаете с най-много прости начиниЗатваряне на Windows портове, които не изискват допълнителни знания и професионални умения.
Използване на командния ред
командване Windows низ- Това черупка, който се използва за задаване на определени функции и параметри за софтуер, който няма собствена графична обвивка.
За да стартирате командния ред, трябва:
- Едновременно натиснете клавишната комбинация Win + R
- В командния ред, който се появява, въведете cmd
- Кликнете върху бутона "OK".
Ще се появи работен прозорец с черен фон, в който трябва да въведете една по една следните команди. След всеки въведен ред натискайте клавиша Enter, за да потвърдите действието.
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=tcp localport=135 name="Block1_TCP-135"(команда за затваряне на порт 135)
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=tcp localport=137 name="Block1_TCP-137"(команда за затваряне на порт 137)
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=tcp localport=138 name="Block1_TCP-138"(команда за затваряне на порт 138)
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=tcp localport=139 name="Block_TCP-139"(команда за затваряне на порт 139)
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"(команда за затваряне на порт 445)
netsh advfirewall защитна стена добавяне на правило dir=in action=block protocol=tcp localport=5000 name="Block_TCP-5000"
Шестте команди, които дадохме, са необходими за: затваряне на 4 уязвими Windows TCP порта (отворени по подразбиране), затваряне на UDP порт 138 и затваряне на порт 5000, който отговаря за показването на списък с налични услуги.
Затваряме портове с програми на трети страни
Ако не искате да прекарвате време в работа с командния ред, предлагаме да се запознаете с приложения на трети страни. Същността на такъв софтуер е да редактира системния регистър в автоматичен режимс графичен интерфейс, без необходимост от ръчно въвеждане на команди.
Според нашите потребители най-популярната програма за тази цел е Windows Doors Cleaner. Ще ви помогне лесно да затворите портове на компютър с Windows 7/8/8.1/10. За съжаление не се поддържат по-стари версии на операционни системи.
Как се работи с програма, която затваря портове
За да използвате Windows Doors Cleaner, трябва:
1. Изтеглете софтуера и го инсталирайте
2. Стартирайте програмата, като щракнете върху прекия път Кликнете с десния бутонщракнете и изберете „изпълни като администратор“
3. В работния прозорец, който се появява, ще има списък с портове и бутоните „Затваряне“ или „Деактивиране“, които затварят уязвимите Windows портове, както и всякакви други по желание
4. След като направите необходимите промени, трябва да рестартирате системата
Друго предимство на програмата е фактът, че с нейна помощ можете не само да затваряте портове, но и да ги отваряте.
Правене на изводи
Затварянето на уязвими мрежови портове в Windows не е панацея за всички болести. Важно е да запомните, че мрежовата сигурност може да бъде постигната само чрез цялостни действия, насочени към затваряне на всички уязвимости на вашия компютър.
За безопасност потребител на Windowsзадължително е да инсталирате критични актуализации от Microsoft, да имате лицензиран антивирусен софтуер и активирана защитна стена, да използвате само безопасен софтуер и редовно да четете нашите статии, в които говорим за всички съществуващи начинипостигнете анонимност и сигурност на вашите данни.
Знаете ли по-добри начини за затваряне мрежови портове? Споделете знанията си в коментарите и не забравяйте да публикувате отново статията на вашата страница. Дял полезна информацияс приятелите си и не давайте шанс на хакерите да навредят на близките ви!
Мрежовите портове могат да дадат съществена информацияза приложения, които имат достъп до компютри по мрежата. Познавайки приложенията, които използват мрежата и съответните мрежови портове, можете да създадете точни правила за защитна стена и да конфигурирате хост компютрите да позволяват само полезен трафик. Чрез изграждане на мрежов профил и внедряване на инструменти за откриване на мрежов трафик можете по-ефективно да откривате нарушители - понякога просто чрез анализиране на мрежовия трафик, който генерират. Започнахме да разглеждаме тази тема в първата част на статията, публикувана в предишния брой на списанието. Той предоставя основна информация за TCP / IP портовете като основа мрежова сигурност. Част 2 ще опише някои методи за мрежи и хостове, които могат да се използват за определяне кои приложения слушат в мрежата. По-нататък в статията ще говорим за това как да оценим трафика, преминаващ през мрежата.
Блокиране на мрежови приложения
Повърхност за мрежова атака е често използван термин за описание на уязвимост на мрежата. Много мрежови атаки преминават през уязвими приложения и можете значително да намалите повърхността на атаката, като намалите броя на активните приложения в мрежата. С други думи, деактивирайте неизползваните услуги, инсталирайте защитна стена на специална система за валидиране на трафика и създайте пълен списък за контрол на достъпа (ACL) за защитната стена в периметъра на мрежата.
Всеки отворен мрежов порт представлява приложение, слушащо мрежата. Повърхността на атака на всеки сървър, свързан към мрежата, може да бъде намалена чрез деактивиране на всички ненужни мрежови услуги и приложения. Windows версия Server 2003 е по-добър от предишните версии операционна система, тъй като по подразбиране се активира по-малко мрежови услуги. Все още обаче е необходим одит, за да се преоткрие инсталирани приложенияи промени в конфигурацията, които отварят допълнителни мрежови портове.
Всеки отворен порт- потенциална задна врата за хакери, които използват пространства в хост приложението или тайно влизат в приложението с различно потребителско име и парола (или използват друг легитимен метод за удостоверяване). Така или иначе, важна първа стъпка за защита на вашата мрежа е просто да деактивирате неизползваните мрежови приложения.
Сканиране на портове
Сканирането на портове е процес на откриване на слушащи приложения чрез активно проучване на мрежовите портове на компютър или друго мрежово устройство. Възможността за четене на резултати от сканиране и сравняване на мрежови отчети с резултати от проучване на порт на хост ви дава ясна картина на трафика, преминаващ през мрежата. Познаване на мрежова топология - важно условиеизготвяне на стратегически план за сканиране на конкретни области. Например, чрез сканиране на диапазон от външни IP адреси, можете да съберете ценни данни за нападател, който е проникнал от интернет. Затова трябва да сканирате мрежата по-често и да затворите всички ненужни мрежови портове.
Сканирането на портове на външна защитна стена може да открие всички отговарящи услуги (например уеб или електронна поща), хостван на вътрешни сървъри. Тези сървъри също трябва да бъдат защитени. Настройте познат скенер на портове (например Network Mapper - Nmap), за да проверите желана група UDP или TCP портове. Обикновено сканирането на TCP портове е по-надеждно от сканирането на UDP поради по-дълбокото си сканиране обратна връзкас ориентирани към свързване TCP протоколи. Има версии на Nmap както за Windows, така и за Unix. Лесно е да започнете основната процедура за сканиране, въпреки че програмата изпълнява много повече сложни функции. За да потърся отворени портове на тестов компютър, изпълних командата
Nmap192.168.0.161
Фигура 1 показва резултатите от сканираща сесия - в този случай Компютър с Windows 2003 г. в стандартна конфигурация. Данните от сканирането на портове показват шест отворени TCP порта.
| Фигура 1: Основна сесия за сканиране на Nmap |
- Порт 135 се използва от функцията за съпоставяне на крайни точки на RPC, внедрена в много технологии на Windows, като COM/DCOM приложения, DFS, регистрационни файлове на събития, механизми за репликация на файлове, опашка за съобщения и Microsoft Outlook. Това пристанищетрябва да бъде блокиран в защитната стена в периметъра на мрежата, но е трудно да го затворите и в същото време да запазите функционалността на Windows.
- Порт 139 се използва от услугата за сесия NetBIOS, която позволява на браузъра да намира други компютри, услугата споделянефайлове, Net Logon и сървърна услуга. Трудно се затваря, както и порт 135.
- Порт 445 се използва от Windows за съвместна работас файлове. За да затворите този порт, споделянето на файлове и принтери за мрежи на Microsoft трябва да бъде деактивирано. Затварянето на този порт не пречи на компютъра да се свързва с други отдалечени ресурси; други компютри обаче няма да могат да се свържат с тази система.
- Портове 1025 и 1026 се отварят динамично и се използват от друга система Windows процесипо-специално от различни услуги.
- Порт 3389 се използва от отдалечен работен плот, който не е активиран по подразбиране, но е активиран на моята тестова машина. За да затворите порта, отидете в раздела Отдалечено в диалоговия прозорец Свойства на системата и изчистете отметката от квадратчето Разрешаване на потребителите да се свързват дистанционно към този компютър.
Не забравяйте да потърсите отворени UDP портове и затворете допълнителните. Софтуерът за сканиране показва отворени портовекомпютри, които са видими от мрежата. Подобни резултати могат да бъдат получени с помощта на инструменти, разположени на хост системата.
Сканиране на хост
В допълнение към използването на мрежов скенерпортове, отворените портове на хост системата могат да бъдат намерени със следната команда (изпълнете на хост системата):
Netstat -ан
Тази команда работи както на Windows, така и на UNIX. Netstat изброява активните портове на компютъра. В Windows 2003 Windows XP добавете опцията -o, за да получите съответния идентификатор на процеса (PID). Фигура 2 показва изхода на Netstat за същия компютър, който преди това е бил сканиран през порт. Трябва да обърнете внимание на факта, че няколко порта, които преди са били активни, са затворени.
Одит на журнала на защитната стена
Друг полезен начин за откриване на мрежови приложения, които изпращат или получават данни по мрежата, е да събирате и анализирате повече данни в регистрационния файл на защитната стена. Отказ на записи, които предоставят информация от външен интерфейсзащитните стени е малко вероятно да бъдат полезни поради "шумовия трафик" (напр. от червеи, скенери, пинг тестове), затрупващ интернет. Но ако регистрирате разрешените пакети от вътрешния интерфейс, можете да видите целия входящ и изходящ мрежов трафик.
За да видите "сурови" данни за трафика в мрежата, можете да зададете мрежов анализатор, който се свързва с мрежата и регистрира всички открити мрежови пакети. Най-широко използваният безплатен мрежов анализатор е Tcpdump за UNIX (версията за Windows се нарича Windump), който лесно се инсталира на компютър. След като инсталирате програмата, трябва да я конфигурирате да работи в режим на получаване на всички мрежови пакетиза да регистрирате целия трафик и след това да се свържете към монитора на порта мрежов превключватели следете целия трафик, преминаващ през мрежата. Конфигурирането на монитора на порта ще бъде обсъдено по-долу. Tcpdump е изключително гъвкава програма, която ви позволява да преглеждате мрежовия трафик с помощта на специализирани филтри и да показвате само информация за IP адреси и портове или всички пакети. Трудно е да видите мрежови дъмпове големи мрежибез помощта на подходящи филтри, но трябва да се внимава да не се загубят важни данни.
Комбиниране на компоненти
Дотук обмисляхме различни методии инструменти, които могат да се използват за откриване на приложения, използващи мрежата. Време е да ги съберем и да ви покажем как да определите отворените мрежови портове. Удивително е колко "бъбриви" са компютрите в мрежата! Първо, препоръчително е да се запознаете с документ на Microsoft„Преглед на услугата и изисквания за мрежови портове за системата Windows Server“ ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), който изброява протоколите (TCP и UDP) и номерата на портовете, използвани от приложенията и повечето основни Windows услугисървър. Този документ описва тези услуги и свързаните с тях мрежови портове, които използват. Препоръчително е да изтеглите и отпечатате това полезно за администраторите Windows мрежисправочно ръководство.
Настройка на мрежовия анализатор
Беше отбелязано по-рано, че един от начините за определяне на портовете, използвани от приложенията, е да се наблюдава трафикът между компютрите с помощта на мрежов анализатор. За да видите целия трафик, трябва да свържете мрежов анализатор към хъб или порт монитор на комутатора. Всеки порт на хъб вижда целия трафик на всеки компютър, свързан към този хъб, но хъбовете са остаряла технология и повечето компании ги заменят с комутатори, които осигуряват добра производителност, но не са лесни за анализ: всеки порт на комутатор приема само трафик, предназначен за един компютър, свързан към този порт. За да анализирате цялата мрежа, трябва да наблюдавате трафика, насочен към всеки порт на комутатора.
Това изисква конфигуриране на монитор на порт (наречен span port или огледален порт от различни доставчици) на комутатора. Задайте монитор на порта на Суич на Cisco Catalyst от Cisco Systems е лесен. Трябва да се регистрирате на превключвателя и да активирате режима Enable, след това да отидете в режима за конфигуриране на терминала и да въведете номера на интерфейса на порта на превключвателя, към който трябва да бъде изпратен целият контролиран трафик. Накрая всички наблюдавани портове трябва да бъдат посочени. Например, следните команди наблюдават три Fast Ethernet порта и препращат копие на трафика към порт 24.
Интерфейс FastEthernet0/24 порт монитор FastEthernet0/1 порт монитор FastEthernet0/2 порт монитор FastEthernet0/3 край
В този пример мрежов снифър, свързан към порт 24, ще разглежда целия изходящ и входящ трафик от компютри, свързани към първите три порта на комутатора. За да видите създадената конфигурация, въведете командата
Напиши памет
Първоначален анализ
Помислете за пример за анализиране на данни, преминаващи през мрежа. Ако компютър с Linux се използва за мрежов анализ, изчерпателна представа за вида и честотата на пакетите в мрежата може да се получи с помощта на програма като IPTraf в статистически режим. Подробности за трафика могат да бъдат намерени с помощта на програмата Tcpdump.
Уязвимостта наистина беше ужасяваща
готовият експлойт се оказа недостъпен за
по-голямата част от хората ... Сигурно затова
никой не се страхуваше...
Група от полски експерти в областта
сигурност на компютърните технологии „Послед
Етап на делириум "каза на обществеността за намереното
тях уязвимости, боравене с DCOM обекти в
контекст на RPC протокола. Беше нещо
невероятно, защото този протокол
използвани от почти всички
съществуващите в момента версии на Windows.
Уязвими се оказаха Windows NT, Windows XP, Windows 2000
и дори Windows Server 2003 беше насочен. Това
беше повече от достатъчно, за да поеме
компютрите на повечето потребители
Интернет мрежи. Освен това много сървъри не са
блокирани входящи пакети на порт 135,
именно той е бил използван за нападението. Какво
ги превърна в потенциални жертви.
Но няколко часа по-късно Тод Сабин съобщава,
че всички RPC услуги са уязвими. Това
означава, че настройката на защитната стена на
блокиране на порт 135 не е достатъчно
средства за защита. Изложени опасности
компютри с отворени 135 (UDP/TCP), 139, 445 и 593
пристанища. медийно покритие дадена грешка, Как
потенциален риск за сигурността
Потребители на Windows. Въпросът отиде в световен мащаб
бедствие. Но тъй като обществеността
не беше пуснат експлойт, всички продължиха
живейте стария си живот, без да мислите
последствия от появата му в масите.
Но не всички реагираха толкова пасивно
появата на тази уязвимост. хакери
постепенно започна да пише частно
подвизи, а сценаристите продължаваха да го чакат
външен вид. Резултатът не отне много време
изчакайте. След няколко дни се появяват
някои развития в тази област,
появяват се първите подвизи. въпреки това
повечето от тях просто провокират катастрофа
на отдалечената система. Какво може да се обясни
тъй като техническите подробности за
откритата уязвимост не беше известна. Макар че
някои версии на ОС вече успешно
бяха експлоатирани.
Този ден беше повратна точка в историята.
използване на тази уязвимост. Накрая
появява се техническо описаниепроблеми.
След което се раждат голям брой
подвизи, под различни версии Windows.
Някои от тях дори имат графика
интерфейс, а понякога и функцията за сканиране
определен диапазон от IP адреси.
Точно в този момент се появи масивна
атака от хакери срещу обикновени потребители.
Освен това се появи интернет червеят MS Blast,
които лесно проникваха в компютрите
свързан с интернет и дори
корпоративни мрежи на най-големите компании
мир. Всички са в опасност...
Атаката на отдалечена машина не означава
специален труд. Така че децата по сценария поеха
твоя работа. Кражба на кредитни карти и лични
подвизи се е увеличил няколко пъти. И
станаха много вкусни сегменти от мрежата
опитай го. Това е, което той направи
един хакер. Той искаше да поеме сървъра от дълго време,
но прилична уязвимост под него преди това
не са имали. Не се възползвайте от това
той просто не можеше да бъде подарък от съдбата.
Пиеса в три действия
Първото нещо, което трябваше да направи преди
атака, е да се провери кой
операционна система, инсталирана на
сървър. За това той използва
помощна програма nmap. Хакерът многократно е писал за нея
възможности, но ще се повторя и ще кажа това
използва се за определяне на версията на ОС
На отдалечен компютър. Добре, че тя
съществува както за Windows, така и за *nix. А
като хакер за работата си
използваше Windows, тогава изборът му падна
графична версия на nmap.
Няколко минути работа на скенера и
резултатът е положителен. 135 порт се оказа
отворени и незащитени от защитна стена. Това
беше началото на края, началото на дългоочакваното
атаки. На този етап вече е написано
много подвизи, включително "RCP Exploit GUI #2".
Неговата отличителна черта беше, че той
имаше GUIи се съхранява вътре
собствени вградени функции за сканиране
IP диапазон, както и FTP сървър.
Стартирайки експлойта, той посочи адреса
целеви компютър. Но в списъка с ОС за
нападнат Windows машини NT не беше посочено. Но
беше инсталиран на сървъра. Това
сериозен проблем, защото
за да стартирате експлойт, трябва да го знаете
точния адрес в паметта, за да прехвърлите след това
контрол върху него. Малко задълбочаване
файлове, изтеглени с експлойта, it
намерих малък списък с адреси под широката
вариант на линията Windows. Между тях
присъстваше и Windows NT беше предварително инсталиран
Service Pack 4. Това беше неговото значение, което той посочи в
като обратен адрес, като плюя върху ръководството
Избор на ОС. Числото 0xE527F377 стана негова тайна
пропуск към живота на сървъра. И той започна да атакува.
Системата се отказа без никакви
инциденти, така че хакерът получи обратна обвивка
с отдалечен сървър. Сега, когато можеше
изпълни каквото и да било върху него, то дойде
време за инсталиране на Trojan. Сред големите
брой възможни, ДоналдДик беше избран. За
той трябваше да изпълни плана си
вземете хостинг безплатен сървърс
FTP поддръжка. BY.RU пасва идеално, точно
там качи сървъра за троянския кон. Сега,
когато DonaldDick стана достъпен чрез FTP, той
взе жертвата, или по-скоро започна да качва
Троянски сървър на него. Беше добре
добре обмислен план, тъй като уязвимостта
можеше да бъде закърпен, а троянският кон също е в Африка
троянски кон. Като въведе в ftp конзолата, той започна
качи файл. Целият процес го отне
написвайки само пет реда:
отворен от.ru
име_на_сървър.by.ru
парола
вземете fooware.exe
чао
Където fooware.exe е преименувания сървър за
Доналд Дик. Когато файлът е изтеглен, той е изтеглен
просто го стартирайте. За това той просто
написа името на файла (fooware.exe) и се забавлява
натисна Enter ... След което хакерът получи удобен
контрол върху сървъра.
Но знаете как е винаги, когато
намерете нещо интересно продължете
играй го. Така искаше нашият хакер
вземете повече от една система. След като погледна
че експлойтът позволява масивна
сканиране, той се зае с работа, или по-скоро
KaHt пое работата. Използването му
се оказа, че не е трудно. Така например, към
относно сканирането на мрежата с IP 192.168.0.* (клас C), it
трябваше да напишете „KaHt.exe 129.168.0.1
192.168.0.254". Което всъщност той направи,
след това периодично проверявайте
резултати. Така той получи достъп
за още повече потребители, от
за които след това успя да получи пароли
различни услуги, поща и много други
полезна информация. Да не споменавам,
че той започна да използва много от тях като
анонимни пълномощници.
Храна за размисъл
Въпреки че Microsoft пусна корекция преди много време,
потребителите и администраторите не бързат
инсталират пачове, надявайки се, че тяхната мрежа не го прави
никой няма да се интересува. Но такива хакери
голям брой и инсталирането на пластира е
по-скоро необходимост, отколкото възможност.
Можете също така да блокирате всички входящи пакети
на 135, 139, 445 и 593 портове.
Естествено, хакерът направи всичко това
анонимен прокси и в резултат на това изчистен
зад следа от присъствие в системата. Но ти
трябва да се мисли преди да се повтори
неговите подвизи. Все пак такива действия се обмислят
незаконно и може да доведе до
достатъчно си жалък...
Вчера неизвестни извършиха поредната масирана атака с помощта на рансъмуер вирус. Според експерти са засегнати десетки големи компании в Украйна и Русия. Рансъмуерът се нарича Petya.A (вероятно вирусът е кръстен на Петро Порошенко). Те пишат, че ако създадете perfc файл (без разширение) и го поставите в C:\Windows\, вирусът ще ви заобиколи. Ако компютърът ви се рестартира и започна да "проверява диска", трябва незабавно да го изключите. Зареждането от LiveCD или USB ще ви даде достъп до файловете. Друг начин за защита: затворете портове 1024-1035, 135 и 445. Сега ще разберем как да направите това, използвайки примера на Windows 10.
Етап 1
Отидете на Защитна стена на Windows(по-добре е да изберете режима повишена сигурност), изберете раздела " Допълнителни опции».
Изберете раздела " Правила за входящи връзки", след това действие " Създаване на правило” (в дясната колона).
Стъпка 2
Изберете типа правило - " за пристанище". В следващия прозорец изберете " TCP протокол”, посочете портовете, които искате да затворите. В нашия случай това 135, 445, 1024-1035
“ (без кавички).
Стъпка 3
Изберете елемента " Блокиране на връзката”, в следващия прозорец маркираме всички профили: Домейн, частен, публичен.
Стъпка 4
Остава да измислим име на правилото (за да бъде лесно за намиране в бъдеще). Можете да посочите описание за правилото.
Ако някои програми спрат да работят или започнат да работят неправилно, може да сте затворили порта, който използват. Ще трябва да добавите изключение в защитната стена за тях.
135 TCP портизползвани от отдалечени услуги (DHCP, DNS, WINS и т.н.) и в приложения клиент-сървър на Microsoft (напр. Exchange).
445 TCP портизползвано в Microsoft Windows 2000 и по-нови за директен TCP/IP достъп без използване на NetBIOS (например в Active Directory).
Публикация
Зареждане...