Ransome WannaCry | Bảo mật port 445

Port 445 trong Window và Ransomeware WannaCry thì có liên quan gì nhau?

Trên các hệ thống Windows 2000, XP và Windows Server 2003 và các dòng Window sau này có một số cổng mới được sử dụng, trong số đó, cổng (port) 445 TCP dùng cho dịch vụ SMB truyền qua TCP.

SMB (Server Message Block) được sử dụng cho mục đích chia sẻ file. Trên các hệ thống Windows NT cũ nó vận hành với NetBT (NetBIOS over TCP/IP), sử dụng các port thông dụng như 137, 138 (UDP) và 139 (TCP). Trên các hệ thống Windows 2000/XP/2003, Microsoft hỗ trợ khả năng vận hành trực tiếp SMB qua TCP/IP (port 445), không cần qua NetBT.

NetBIOS cho phép thực hiện đơn giản việc chia sẻ file qua mạng nội bộ (LAN), tuy nhiên đó lại là mối nguy hiểm tiềm tàng khi hệ thống kết nối WAN hay Internet. Tất cả thông tin về mạng (như tên miền) và tài khoản truy cập mạng nội bộ của bạn đều có thể bị thu thập.

Và hiện tại, con WannaCry đang hoành hành hơn 100 quốc gia trên thế giới hiện giờ cũng đang sử dụng việc chia sẻ file qua mạng nội bộ LAN qua cổng 445 để tự phát tán, lây nhiễm qua các máy trong cùng văn phòng, cơ quan,..

Do vậy, một trong những giải pháp ngăn chặn lây nhiễm WannaCry là chặn port 445 lại

Cách làm như sau:

Cách 1:

– Mở cmd với quyền admin
– Chạy lệnh sc stop lanmanserver
– Chạy tiếp lệnh sc config lanmanserver start=disabled
– Kiểm tra lại bằng lệnh netstat -n -a | findstr "LISTENING" | findstr ":445" (nếu chạy xong thấy hiện dòng trống nghĩa là đã patch thành công.)

Lưu ý: Tất cả các lệnh mình đã đặt giữa cặp dấu , khi paste các bạn nhớ bỏ dấu.

Cách 2

Tác giả: Kiet Nguyen Anh Production
YouTube: https://www.youtube.com/c/KietNguyenAnhProduction
Facebook: facebook.com/kiet2507
Admin of Linux Team Việt Nam
A.Kiểm tra port 445
Mở CMD quyền Admin và gõ
netstat -an | findstr 445
Nếu gõ không hiện ra cái gì thì là OK còn nếu có chữ LISTENNING thì phải block port ngay
B. Tắt SMB (Mở Powershell lên và oánh các lệnh sau)
Mở Start-> Windows PowerShell-> Phải chuột vào Windows Powershell chọn Run as administrator
Copy từng dòng Paste vào. Nếu nó hiện lỗi gì thì bỏ qua sang dòng khác
Remove-WindowsFeature FS-SMB1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force
B. Chặn port 445/137/138/139 trên Firewall
Máy nào cài Antivirus mà có tường lửa riêng thì phải cấu hình trên tường lửa riêng
của Anivirus
Còn máy nào ko xài Antivirus hoặc Windows Defener thì làm như sau
B1: Mở Start search cụm từ Firewall và chọn Windows Firewall with Advanced security
B2: Inbound Rules-> New Rule-> Port
B3: Chọn UDP-> Specific local ports nhập dòng này vào 445, 137, 138, 139
B4: Block the connection
B5: Tick cả 3 cái
B6: Đặt tên tùy ý-> finish
B7: Kiểm tra lại xem bật firewall chưa, chưa thì bật lên
C. Tắt Sever service
B1: Run-> Services.msc
B2: Tìm tới Services Server. Phải chuột chọn Stop
B3: Click đúp vào nó. Startup type sửa thành Disabled. Apply->OK
Sau khi làm xong tất cả RESTART LẠI MÁY. CẤM SHUTDOWN

nguồn: j2team

soiqualang_chentreu tổng hợp