41分

樓主

個人積分：41分

文章編號：64359992

WannaCry 勒索病毒封鎖問題

問一個雖然不太可能做到又很笨的問題，就是既然ISP可以主動封鎖25等port,中國長城防火牆可以主動封80、443、VPN，為何在這種重大攻擊事件時不把Internet上跟本就不太可能用到的445先進行短暫性的封鎖動作，好讓一些校園、企業、個人有較長的時間來進行修補動作的機會呢。

這個雖還沒有嚴重到要出動國家來解決這個部份，但至少這種動作可以應該可以保護到較多的人，說不定政府機構也有很多中標的

2017-05-14 20:55 #1

文章關鍵字

wannacry 病毒封鎖問題

michael.gallery

2128分

2樓

michael.gallery

個人積分：2128分

文章編號：64360115

別鬧了，你用不到那個Port不代表別人用不到，一鎖下去絕對被告死．
請問國家或ＩＳＰ任意封鎖用戶某個ＰＯＲＴ合法嗎？
你喜歡一個可以因為某些原因就封鎖、側錄、監控你的國家？
只要您的裝置接上網，他可以大方的ＣＯＰＹ一份做大數據分析或預防犯罪？

中毒最大的問題在於使用者習慣，使用者習慣爛的人，常常大型中毒災難都有他的份．
然後不太瞭解或自以為瞭解的人就會把問題全部推給作業系統或是其他的理由（系統爛、網路爛、電腦爛...等等）反正一切都是別人害的啦～～
如果你買了一支好用的菜刀，或許該學會怎麼用刀，而不是嫌這把刀常常出問題應該封鎖某些功能．
（重度使用個平台電腦和網路，但十幾年沒中過毒的人留）

fz500s wrote:
問一個雖然不太可能做到又很笨的問題，就是既然ISP可以主動封鎖25等port,中國長城防火牆可以主動封80、443、VPN，為何在這種重大攻擊事件時不把Internet上跟本就不太可能用到的445先進行短暫性的封鎖動作，好讓一些校園、企業、個人有較長的時間來進行修補動作的機會呢。

這個雖還沒有嚴重到要出動國家來解決這個部份，但至少這種動作可以應該可以保護到較多的人，說不定政府機構也有很多中標的

billese10

1080分

3樓

billese10

個人積分：1080分

文章編號：64361211

ISP主動去封鎖port,那台灣網路就跟大陸網路環境一樣,除非政府允許,否則就跟樓上大大講一樣

總歸一句,Windows update平時就要做好做滿

定期防毒軟體病毒碼更新,少點來路不明網站和路徑,

少安裝一些不明套件,就可以防範

這次中毒事件也來自使用者平時沒再更新Windows update問題所導致

所以才讓駭客有空隙入侵

notebook18k

437分

4樓

notebook18k

個人積分：437分

文章編號：64365386

一、SMB Port（Port 445）是網路芳鄰的通訊埠，透過區域網路共享文件檔案、遠端存取本機電腦及部分媒體伺服器都要經過Port 445，ISP若擅自關閉 Port 445，這會造成使用者很大的困擾，還是要由使用者自決是否要在電腦端設定禁止Windows開放NetBIOS服務。

二、Windows系統的SMB安全性漏洞其實早在106年3月14日就已經釋出KB4012215更新修補漏洞，使用非正版作業系統（無法進行Windows Update）或已經長時間未執行Windows Update的電腦才會有風險，務必要隨時保持最新的安全性更新。

微軟下載5月整合包
2017 年 5月 9 日 — KB4019264 (每月彙總套件)
連結位置：https://support.microsoft.com/zh-tw/help/4019264/windows-7-update-kb4019264
◆Windows 7 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
◆Windows 7 x32
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu
◆Windows 8.1 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
◆Windows 8.1 x32
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

Snow

112分

5樓

Snow

個人積分：112分

文章編號：64409348

以前疾風(Msblast)和NIMDA這兩個也是靠SMB漏洞傳遞的病毒流行時代，

確實各大ISP有封掉13x和445，後來不知道多久後才又開放。

沒封掉前，samba server的log天天一堆垃圾，ISP封掉後就安靜多了。

這次為何沒這樣做就不知道了。

會影響到的大概只有遠端連網芳有差吧，不過這用個VPN解決就好了。

cliff3122

0分

6樓

cliff3122

個人積分：0分

文章編號：64410572

基本上ISP 應該不太可能做這種事吧!! 畢竟無法預期對某些客戶會有啥影響~~
Snow 大大說的針對這兩個port阻擋我也是第一次聽到哩... ISP 真的有那麼大心嗎 ?

notebook18k

437分

7樓

notebook18k

個人積分：437分

文章編號：64449211

Snow wrote:
以前疾風(Msblast...(恕刪)

以前NIMDA、Worm.Sasser和SQL-Server漏洞攻擊病毒的特徵很明顯，例如Worm.Sasser是一個IP對多個IP發起 TCP 445連線，NIMDA是一個IP在連續幾段時間大量對外部IP發起TCP 80連線。不過比較可怕的應該是利用SQL-Server漏洞進行的DOS Worm，對整個網段進行TCP 1433掃描的話影響範圍很大，這種規模的攻擊ISP可能就會主動採取措施了。

NeverGiveUp!!

48993分

8樓

NeverGiveUp!!

個人積分：48993分

文章編號：64474673

ＩＳＰ會不會主動？這就沒有一定的答案．在個人的認知是不會．除非另加付費申請額外附加服務．
會講這種問題就像是不外乎而等待藉單件事來擴大與擴散．看能不能藉由這種來扭曲ＩＳＰ之本務．

人品是做人最好的底牌．

Regin C

2分

9樓

Regin C

個人積分：2分

文章編號：64475419

在香港兩家主要的ISP 也主動封了兩至三個PORT 才令到受感染的盡量減少
可能是地方不同, 在香港被封了也沒有多大影響

m!ng

176分

10樓

m!ng

個人積分：176分

文章編號：64479908

fz500s wrote:
問一個雖然不太可能...(恕刪)

我的理解是 ..
WannaCry 的第一動是把木馬種進你的電腦裏, 可能是透過email 夾檔或是網頁上讓你去下載執行.
第二動再把主程式透過木馬call home後送進電腦裏;
第三動才是用port 445在LAN內感染其它電腦;

其實ISP在上述前兩動是無能為力的, 因為那都是從用戶端合法傳出來的traffic.
至於第三動, 其實今天的家庭用戶幾乎都有家用路由器, 公司都有firewall, port 445是無法穿透進別家的NAT 去感染的.
所以ISP有沒有攔port 445, 我覺得決定性不大 !

唯一要討論的是學校, 學校的LAN內有大數量的電腦,
的確第三動會造成災情, 但LAN內的管轄權在學校, 而不在ISP.

WannaCry 勒索病毒封鎖問題

小惡魔新聞台

小惡魔廣編特輯

WannaCry 勒索病毒封鎖問題

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！