前言:windows server服务器因为使用的人数比较多,也会成为HK重点攻击的对象.最近遇到一个诡异的现象,安装完windows 的系统,第二天就被种下了可疑程序,排查了很久也没有发现HK是通过什么方式植入可疑程序的。后面通过对杀毒软件的分析,发现HK是通过smb协议,远程执行提权代码,最后一步一步获取到计算机的最高权限的。所以不是文件或者打印机服务器,关掉smb协议就成为重中之重。
1.相关的漏洞信息:windows server 2019 和 windows 2004版本依旧无法避免。
根据HK的入侵记录,可能是通过Microsoft服务器消息块(SMB)协议中的漏洞(CVE-2020-0796)来实现远程入侵的,并且微软的自动更新迟迟没有修复,网上也没有这个补丁的一些详细信息。为了稳妥起见,还是必须要关掉这个服务。有需要了再进行开启。
2.修复操作:
Windows 7、Windows Server 2008 R2、Windows Vista 和 Windows Server 2008
若要在运行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的 SMB 服务器上启用或禁用 SMB 协议,请使用 Windows PowerShell 或注册表编辑器。
使用 Windows PowerShell 2.0 或更高版本的 PowerShell
若要在 SMB 服务器上禁用 SMBv1,请运行以下 cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
若要在 SMB 服务器上禁用 SMBv2 和 SMBv3,请运行以下 cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force
若要在 SMB 服务器上启用 SMBv1,请运行以下 cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 1 -Force
若要在 SMB 服务器上启用 SMBv2 和 SMBv3,请运行以下 cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 1 -Force
评论区