作者piligo (霹雳狗)
看板AntiVirus
标题Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统
时间Sat May 13 07:36:37 2017
针对网路途径中奖疑问(不含内战)
请问这次中奖的大家都有装分享器吗
有的话我是想了解攻击者如何绕过分享器
难道跟这篇有关?
【情报】华硕 40 余种路由器产品 被发现五个严重漏洞
https://forum.gamer.com.tw/C.php?bsn=60030&snA=461733
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.133.170.239
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494632200.A.CAF.html
1F:推 abram: 我也有一样的疑问 躲在路由器後面不是应该安全了吗 05/13 07:42
2F:→ abram: 有人是连路由器还被勒索病毒攻击成功的吗 谢谢! 05/13 07:42
3F:→ piligo: 像之前疾风病毒有分享器的都逃过一劫 05/13 07:44
4F:→ piligo: 10年前分享器没普及可以理解,现今应该就家家都有装了吧 05/13 07:46
5F:推 Seattle995: 4月中买的 AC68U 安装时自动更新 7378 还好~ 05/13 07:49
6F:→ HELLDIVER: 原来我没中枪是因为分享器的关系吗? 05/13 07:51
7F:→ banmi: 装华硕本身的韧体还是蕃茄比较会中?? 05/13 07:55
8F:→ proletariat: 吃番茄的会有事吗? 05/13 08:06
9F:推 nk950357: 依照这个病毒来说 这个病毒不是动分享器设定吗 05/13 08:07
10F:推 mapxu664: 如果先拔网路线改用分享器连网,不知道会不会中 05/13 08:12
11F:推 x20165: dlink也有出包 建议大家的ap 去升级最新以保安全 05/13 09:20
12F:推 abram: 还好上个月才把华硕路由器换成了Netgear 看来还是不要买牌 05/13 10:36
13F:→ abram: 子大普及的产品比较好 05/13 10:37
14F:→ hotdog5566: netgear 漏洞也是很多... 05/13 11:08
15F:推 F16V: 有人buffalo的中吗 05/13 11:13
16F:→ beartsubaki: 主动式就看人品 毕竟会被发现漏洞大多就是有人中了.. 05/13 11:14
17F:推 Cactusman: 这次的跟分享器无关,亲戚家也是分享器一台Win10没事另 05/13 11:15
18F:→ Cactusman: 一台Win7中奖 05/13 11:15
19F:→ zball: 看分享器设定吧 port forwarding有设好只开必要的port 和不 05/13 11:40
20F:→ zball: 乱开DMZ功能的应该都会没事 因为这个漏到似乎是主动try SMB 05/13 11:44
21F:→ zball: v1 port445看有无回应来做接下来的攻击 上述动作有做好的分 05/13 11:45
22F:→ zball: 享器会把try port动作挡在外面 不过还是把漏洞早点补上才好 05/13 11:46
23F:推 chris38c28: 漏洞你也得看是甚麽漏洞吧 有些要进管理介面才有用的 05/13 12:31
24F:→ piligo: 看完推文还是看不出攻击模式 05/13 12:58
25F:→ zball: imasa大的文章很清楚啦 看起来就是用SMBv1 里面memmove的程 05/13 13:09
26F:→ zball: 是漏洞来把恶意程式置入执行 SMBv1 protocol用的是port 445 05/13 13:10
27F:→ zball: 理论上看是把这个port关闭掉 或是router没有设定将这个port 05/13 13:12
28F:→ zball: 从外部forward到内网主机的话 这次勒索病毒应该是不受影响 05/13 13:13
29F:→ piligo: 问错方向,攻击模式很清楚,只是我想了解有分享器的环境下 05/13 13:51
30F:→ piligo: 是如何中标的 有特别设定port转发或dmz除外 05/13 13:51
31F:→ zball: 中的八九成都是DMZ直接开的吧 很多人使用只在乎方不方便不 05/13 13:58
32F:→ zball: 在乎安全的 router firewall不会设定的我看几乎都是DMZ开了 05/13 14:00
33F:→ zball: 但也不排除uesr根本不知道啥是DMZ 只知道开了网路很多功能 05/13 14:01
34F:→ zball: 才能正常所以就Enable了 囧 05/13 14:02
35F:推 abram: 请问一下 那下次会不会有人try port 23 禁行加密? 05/13 14:24
36F:→ abram: 进行加密 那不就所有的ports都得要封光光? 05/13 14:25
37F:→ piligo: 了解 port只是一个洞,洞後面还要有服务,服务还要有破洞 05/13 14:29
38F:→ piligo: ,才会被攻击 05/13 14:29
39F:推 abram: 谢谢 所以其他port後面对应的服务没有漏洞就不会被攻击了 05/13 14:30
40F:推 braves520: 请问一下,如果公司路由器有设白名单,会中勒索吗 05/13 17:36
41F:→ zball: 如果白名单是指锁特定MAC才能连上的应该是跟这个问题没关系 05/13 22:08
42F:→ zball: 主要还是看外网扫port445时 路由器有没有设定把这个行为传 05/13 22:09
43F:→ zball: 给内网主机 如果port forward有设到445 或DMZ全脱光就会中 05/13 22:10
45F:推 xjacky8000: 重要资料千万不要存在开机碟中。 05/14 22:57
46F:推 xjacky8000: 重要资料还是不要存在开机碟中比较好。 05/14 23:04