Отключение портов 135 и 445 / Сканирование на уязвимость Nmap

Мануал

Согласно отчетам антивирусных компаний, wcrypt проникает через компьютеры по средствам портов SMB [Server Message Block].

Чтобы предотвратить проникновение, мы блокируем порты 135 и 445, через который проникает вирус (в большинстве случаев, они не используются обычными пользователями, если только не используются старые принтеры).

Чтобы сделать это, откройте консоль с правами администратора [cmd.exe => запуск от имени администратора].

И мы выполняем поочередно 2 команды (после каждой команды должно быть состояние OK).

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP-135″

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_TCP-445″

Отключить поддержку SMBv1 полностью. Уязвимость может также быть закрыта, полностью отключив поддержку SMBv1. Выполните эту команду в cmd [win+r => cmd => запуск от имени администратора]

dism /online /norestart /disable-feature /featurename:SMB1Protocol

1. Используйте NMAP для сканирования уязвимости Wcrypt или Программы-вымогателя WannaCry.

Если у вас нет сканера сети nmap, загрузите и установите NMAP c https://nmap.org/.

2. Скачайте скрипт https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

3. Сохраните скрипт Nmap NSE по директориям:

Windows – C:\Program Files (x86)\Nmap\scripts

Linux –/usr/share/nmap/scripts/или/usr/local/share/nmap/scripts/

OSX –/opt/local/share/nmap/scripts/

4.Протестируйте сценарий на известных уязвимых устройствах,  таких как 202.157.185.31 или 64.17.101.90 направленную на вашу сеть.

 nmap -sC -p 445 -max-hostgroup 3 -open -script smb-vuln-ms17-010.nse 64.17.101.90

 

Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-15 10:30 South Africa Standard Time
 Nmap scan report for ns.bvtsvc.com (64.17.101.90)
 Host is up (0.22s latency).
 PORT STATE SERVICE
 445/tcp open microsoft-ds

Host script results:
 | smb-vuln-ms17-010:
 | VULNERABLE:
 | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
 | State: VULNERABLE
 | IDs: CVE:CVE-2017-0143
 | Risk factor: HIGH
 | A critical remote code execution vulnerability exists in Microsoft SMBv1
 | servers (ms17-010).
 |
 | Disclosure date: 2017-03-14
 | References:
 | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
 | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
 |_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Nmap done: 1 IP address (1 host up) scanned in 4.63 seconds

Добавить комментарий