在Windows 2008 R2 SP1 使用Windows防火墙阻止外网访问TCP 445端口
一用户收到BitNinJa.io发来的通知邮件,说扫了他们机子的445端口。觉得有些疑问,因为Windows 2008 R2 SP1的系统是昨天才安装的,一个晚上功夫,就收到端口扫描警告信了。
我想登录到测试机(一样的系统模板),无法成功远程桌面,但在ipmi里可以看到Windows正在运行。
图1:从ipmi登录到桌面,用 netstat 的命令查看,发现不少连接外网445端口的连接
图2:在任务管理器里查对应PID的异常进程,mssecsvc.exe,以系统用户运行
图3:查找进程所在的位置,文件的创建时间是前一天的18点左右
图4:程序是注册成Windows服务自动运行,无描述内容
图5:再查服务列表,又有一个异常的,Stuvwx,显示名称和描述是自动填写,无意义的
图6:再查进程,又有一个异常的,GoogleCdoeUpdate ,查看文件所在位置,创建时间是当天的凌晨4点41分,还有扫描IP的列表和结果
图7:在事件记录里,有当天凌晨4点41分开机的记录,Windows异常重启过
图8:安装系统时,是通过无人值守安装配置文件允许远程桌面连接的,不知道为什么会自动允许“DFS管理”(包括允许SMB)
图9:在Windows防火墙里取消勾选“DFS管理”后,用 netstat 查看,外网连接本地的445端口会中断
图10:无奈,重装系统容易些,重装好系统,阻止外网访问TCP 445端口,且马上进行Windows更新。Windows 2008 R2 Service Pack 1,产品周期,2011-02至2020-01。7年后的今天,累积了很多的Windows补丁