Отключение портов 135 и 445 / Сканирование на уязвимость Nmap



Согласно отчетам антивирусных компаний, wcrypt проникает через компьютеры по средствам портов SMB [Server Message Block].

Чтобы предотвратить проникновение, мы блокируем порты 135 и 445, через который проникает вирус (в большинстве случаев, они не используются обычными пользователями, если только не используются старые принтеры).

Чтобы сделать это, откройте консоль с правами администратора [cmd.exe => запуск от имени администратора].

И мы выполняем поочередно 2 команды (после каждой команды должно быть состояние OK).

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135″ netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445″

Отключить поддержку SMBv1 полностью. Уязвимость может также быть закрыта, полностью отключив поддержку SMBv1. Выполните эту команду в cmd [win+r => cmd => запуск от имени администратора]

dism /online /norestart /disable-feature /featurename:SMB1Protocol

1. Используйте NMAP для сканирования уязвимости Wcrypt или Программы-вымогателя WannaCry.

Если у вас нет сканера сети nmap, загрузите и установите NMAP c https://nmap.org/.

2. Скачайте скрипт https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

3. Сохраните скрипт Nmap NSE по директориям:

Windows — C:\Program Files (x86)\Nmap\scripts

Linux –/usr/share/nmap/scripts/или/usr/local/share/nmap/scripts/

OSX –/opt/local/share/nmap/scripts/

4.Протестируйте сценарий на известных уязвимых устройствах,  таких как 202.157.185.31 или 64.17.101.90 направленную на вашу сеть.

 nmap -sC -p 445 -max-hostgroup 3 -open -script smb-vuln-ms17-010.nse 64.17.101.90

Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-15 10:30 South Africa Standard Time Nmap scan report for ns.bvtsvc.com (64.17.101.90) Host is up (0.22s latency). PORT STATE SERVICE 445/tcp open microsoft-ds Host script results: | smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010). | | Disclosure date: 2017-03-14 | References: | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 |_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Nmap done: 1 IP address (1 host up) scanned in 4.63 seconds

Отправка комментария

0 Комментарии