找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5007|回复: 5

今天才知道封445端口的重要性

[复制链接]
发表于 2004-11-28 20:56:49 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
今天才知道封445端口的重要性小区用户惊呼上不了网.杀奔楼顶,打开箱子,把路由接上显示器和键盘,一看,提示memory queezy,dropping packet.想切换到其他控制台看看如何内存占用过多,alt+fn不起作用.只有重启.启动后用free, 只见内存占用不断上涨,很快我的16m内存就玩完了.在此之前cat /proc/net/arp,只看见有两个用户.又重启,在内存迅速增长期间,more /proc/net/ip_conntrack,不得了,好多页呀.我在rc.local里设了echo 32768 > /proc/sys/net/ipv4/ip_conntrack_max的,因为16m内存默认只有1024条连接记录,很容易满.一条记录是350字节,那么1m大概近3000条,32768条10m多些,差不多嘛话说远了,more太多了,我只好ctrl+c中止了.想用less,没有就cat,只见有几个ip在狂发SYN_SENT,目标地址是192.x.x.x,目标端口是445,哦,原来如此呀.好,iptables -I FORWARD -p tcp --dport 445 -j DROP这下稳住了,因为SYN_SENT生存时间很短,好象是100秒.所以连接表过一下看就少得很了.然后顺便把135-139端口也禁了.考虑到冲击波杀手之类病毒还狂发icmp请求,再加iptables -I FORWARD -i eth0 -p icmp -d 192.0.0.0/8 -j DROP嗯嗯,这下差不多了.跑那几个ip的家里去,果然有毒,用netstat -na可以看到n多syn连接,目标端口为445,有一个打了冲击波补丁就没事了.有几台不行,让他们自己重装,不要忘了打冲击波补丁.各位大大,还有什么要注意的?不过前些天在另个小区,那个病毒太厉害了,coyote其实没问题,另一个子网的好得很,就是有毒的子网ping网关都慢,掉包.不知如何能杀,只有重装系统(((((((.   没想出其他抵挡办法,不过问题肯定依然是冲击波那个漏洞,只是表现形式不同罢了.
routeros
发表于 2004-11-28 21:01:12 | 显示全部楼层
病毒连接自内网还是外网?
routeros
回复

使用道具 举报

发表于 2004-11-28 21:04:27 | 显示全部楼层
routeros
回复

使用道具 举报

发表于 2004-11-28 21:12:49 | 显示全部楼层
应该讲CL对外开放的端口就那么几个,病毒不可能来自外界。所以只能是来自内部。这里有篇文章,CL官方论坛上的:http://www.vortech.net/phorums/read.php?8,39311大家参考下。
routeros
回复

使用道具 举报

头像被屏蔽
发表于 2004-11-28 21:43:05 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
routeros
回复

使用道具 举报

 楼主| 发表于 2004-11-29 17:18:50 | 显示全部楼层
为了防止不可知的端口攻击,考虑到ms的rpc漏洞相关的病毒一般都是不停从自身开始发一点点加ip,那么这样也差不多了。iptables -I FORWARD -i eth0 -d 192.168.0.0/16 -j DROPcoyote的文档太差了,我搞不懂:(所以只有自己用土办法了。各位大大到是帮我解决一下改tcp连接追踪表里的tcp生存时间的问题呀
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-24 08:34 , Processed in 0.046442 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表