删除阻止端口 445 SMB 流量的 Windows WFP 过滤器 - Server 2008

删除阻止端口 445 SMB 流量的 Windows WFP 过滤器 - Server 2008

一位客户在从其大多数内部系统访问关键 Windows 2008R2 服务器的文件共享时遇到问题。快速查看显示 Windows 防火墙已关闭,但只有少数系统可以访问共享。

我尝试了常规的故障排除步骤,甚至重新创建了虚拟网络适配器(VMware)并更改了 IP 地址、清除了 mac 表、ARP 等。

最后,我在 Windows 过滤平台 (WFP) 中发现了一组过滤器,它们明确阻止了端口 445 的进出流量。这可能是恶意软件造成的,但我正在寻找一种方法来删除这些过滤器(通过 filterID)或完全禁用过滤系统。

以下是我看到的情况:https://pastebin.com/BRhE4sJd

这真的可能吗?我所看到的online 是一个 C++ API...


片段:

                <item>
                    <fieldKey>FWPM_CONDITION_IP_LOCAL_PORT</fieldKey>
                    <matchType>FWP_MATCH_EQUAL</matchType>
                    <conditionValue>
                        <type>FWP_UINT16</type>
                        <uint16>445</uint16>
                    </conditionValue>
                </item>
                <item>
                    <fieldKey>FWPM_CONDITION_IP_PROTOCOL</fieldKey>
                    <matchType>FWP_MATCH_EQUAL</matchType>
                    <conditionValue>
                        <type>FWP_UINT8</type>
                        <uint8>6</uint8>
                    </conditionValue>
                </item>
                <item>
                    <fieldKey>FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE</fieldKey>
                    <matchType>FWP_MATCH_EQUAL</matchType>
                    <conditionValue>
                        <type>FWP_UINT8</type>
                        <uint8>1</uint8>
                    </conditionValue>
                </item>
            </filterCondition>
            <action>
                <type>FWP_ACTION_BLOCK</type>
                <filterType/>
            </action>

答案1

我们遭受了加密货币挖矿恶意软件的攻击。它在 Windows 过滤平台 (WFP) 中添加了 SMB TCP 445 阻止。

运行以下命令列出策略和过滤列表:

netsh ipsec static show filterlist all
netsh ipsec static show policy all

运行这些来删除它们:

netsh ipsec static delete policy all
netsh ipsec static delete filterlist all

相关内容