一位客户在从其大多数内部系统访问关键 Windows 2008R2 服务器的文件共享时遇到问题。快速查看显示 Windows 防火墙已关闭,但只有少数系统可以访问共享。
我尝试了常规的故障排除步骤,甚至重新创建了虚拟网络适配器(VMware)并更改了 IP 地址、清除了 mac 表、ARP 等。
最后,我在 Windows 过滤平台 (WFP) 中发现了一组过滤器,它们明确阻止了端口 445 的进出流量。这可能是恶意软件造成的,但我正在寻找一种方法来删除这些过滤器(通过 filterID)或完全禁用过滤系统。
以下是我看到的情况:https://pastebin.com/BRhE4sJd
这真的可能吗?我所看到的online 是一个 C++ API...
片段:
<item>
<fieldKey>FWPM_CONDITION_IP_LOCAL_PORT</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_UINT16</type>
<uint16>445</uint16>
</conditionValue>
</item>
<item>
<fieldKey>FWPM_CONDITION_IP_PROTOCOL</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_UINT8</type>
<uint8>6</uint8>
</conditionValue>
</item>
<item>
<fieldKey>FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_UINT8</type>
<uint8>1</uint8>
</conditionValue>
</item>
</filterCondition>
<action>
<type>FWP_ACTION_BLOCK</type>
<filterType/>
</action>
答案1
我们遭受了加密货币挖矿恶意软件的攻击。它在 Windows 过滤平台 (WFP) 中添加了 SMB TCP 445 阻止。
运行以下命令列出策略和过滤列表:
netsh ipsec static show filterlist all
netsh ipsec static show policy all
运行这些来删除它们:
netsh ipsec static delete policy all
netsh ipsec static delete filterlist all