作者piligo (霹靂狗)
看板AntiVirus
標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間Sat May 13 07:36:37 2017
針對網路途徑中獎疑問(不含內戰)
請問這次中獎的大家都有裝分享器嗎
有的話我是想了解攻擊者如何繞過分享器
難道跟這篇有關?
【情報】華碩 40 餘種路由器產品 被發現五個嚴重漏洞
https://forum.gamer.com.tw/C.php?bsn=60030&snA=461733
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.170.239
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494632200.A.CAF.html
1F:推 abram: 我也有一樣的疑問 躲在路由器後面不是應該安全了嗎 05/13 07:42
2F:→ abram: 有人是連路由器還被勒索病毒攻擊成功的嗎 謝謝! 05/13 07:42
3F:→ piligo: 像之前疾風病毒有分享器的都逃過一劫 05/13 07:44
4F:→ piligo: 10年前分享器沒普及可以理解,現今應該就家家都有裝了吧 05/13 07:46
5F:推 Seattle995: 4月中買的 AC68U 安裝時自動更新 7378 還好~ 05/13 07:49
6F:→ HELLDIVER: 原來我沒中槍是因為分享器的關係嗎? 05/13 07:51
7F:→ banmi: 裝華碩本身的韌體還是蕃茄比較會中?? 05/13 07:55
8F:→ proletariat: 吃番茄的會有事嗎? 05/13 08:06
9F:推 nk950357: 依照這個病毒來說 這個病毒不是動分享器設定嗎 05/13 08:07
10F:推 mapxu664: 如果先拔網路線改用分享器連網,不知道會不會中 05/13 08:12
11F:推 x20165: dlink也有出包 建議大家的ap 去升級最新以保安全 05/13 09:20
12F:推 abram: 還好上個月才把華碩路由器換成了Netgear 看來還是不要買牌 05/13 10:36
13F:→ abram: 子大普及的產品比較好 05/13 10:37
14F:→ hotdog5566: netgear 漏洞也是很多... 05/13 11:08
15F:推 F16V: 有人buffalo的中嗎 05/13 11:13
16F:→ beartsubaki: 主動式就看人品 畢竟會被發現漏洞大多就是有人中了.. 05/13 11:14
17F:推 Cactusman: 這次的跟分享器無關,親戚家也是分享器一台Win10沒事另 05/13 11:15
18F:→ Cactusman: 一台Win7中獎 05/13 11:15
19F:→ zball: 看分享器設定吧 port forwarding有設好只開必要的port 和不 05/13 11:40
20F:→ zball: 亂開DMZ功能的應該都會沒事 因為這個漏到似乎是主動try SMB 05/13 11:44
21F:→ zball: v1 port445看有無回應來做接下來的攻擊 上述動作有做好的分 05/13 11:45
22F:→ zball: 享器會把try port動作擋在外面 不過還是把漏洞早點補上才好 05/13 11:46
23F:推 chris38c28: 漏洞你也得看是甚麼漏洞吧 有些要進管理介面才有用的 05/13 12:31
24F:→ piligo: 看完推文還是看不出攻擊模式 05/13 12:58
25F:→ zball: imasa大的文章很清楚啦 看起來就是用SMBv1 裡面memmove的程 05/13 13:09
26F:→ zball: 是漏洞來把惡意程式置入執行 SMBv1 protocol用的是port 445 05/13 13:10
27F:→ zball: 理論上看是把這個port關閉掉 或是router沒有設定將這個port 05/13 13:12
28F:→ zball: 從外部forward到內網主機的話 這次勒索病毒應該是不受影響 05/13 13:13
29F:→ piligo: 問錯方向,攻擊模式很清楚,只是我想了解有分享器的環境下 05/13 13:51
30F:→ piligo: 是如何中標的 有特別設定port轉發或dmz除外 05/13 13:51
31F:→ zball: 中的八九成都是DMZ直接開的吧 很多人使用只在乎方不方便不 05/13 13:58
32F:→ zball: 在乎安全的 router firewall不會設定的我看幾乎都是DMZ開了 05/13 14:00
33F:→ zball: 但也不排除uesr根本不知道啥是DMZ 只知道開了網路很多功能 05/13 14:01
34F:→ zball: 才能正常所以就Enable了 囧 05/13 14:02
35F:推 abram: 請問一下 那下次會不會有人try port 23 禁行加密? 05/13 14:24
36F:→ abram: 進行加密 那不就所有的ports都得要封光光? 05/13 14:25
37F:→ piligo: 了解 port只是一個洞,洞後面還要有服務,服務還要有破洞 05/13 14:29
38F:→ piligo: ,才會被攻擊 05/13 14:29
39F:推 abram: 謝謝 所以其他port後面對應的服務沒有漏洞就不會被攻擊了 05/13 14:30
40F:推 braves520: 請問一下,如果公司路由器有設白名單,會中勒索嗎 05/13 17:36
41F:→ zball: 如果白名單是指鎖特定MAC才能連上的應該是跟這個問題沒關係 05/13 22:08
42F:→ zball: 主要還是看外網掃port445時 路由器有沒有設定把這個行為傳 05/13 22:09
43F:→ zball: 給內網主機 如果port forward有設到445 或DMZ全脫光就會中 05/13 22:10
45F:推 xjacky8000: 重要資料千萬不要存在開機碟中。 05/14 22:57
46F:推 xjacky8000: 重要資料還是不要存在開機碟中比較好。 05/14 23:04