Windows
刪除阻止埠 445 SMB 流量的 Windows WFP 篩選器 - Server 2008
客戶在從大部分內部系統訪問關鍵 Windows 2008R2 伺服器的文件共享時遇到問題。快速瀏覽顯示 Windows 防火牆已關閉,但只有少數係統可以訪問共享。
我嘗試了正常的故障排除步驟,甚至重新創建了虛擬網路適配器 (VMware) 並更改了 IP 地址、清除 mac 表、ARP 等。
最後,我在 Windows 過濾平台 (WFP) 中發現了一組過濾器,它們明確阻止了埠 445 流量的進出。這可能是惡意軟體在某些時候造成的,但我正在尋找一種方法來刪除這些過濾器(通過 filterID)或完全禁用過濾系統。
這是我所看到的:https ://pastebin.com/BRhE4sJd
這甚至可能嗎?我在網上看到的只是一個 C++ API …
片段:
<item> <fieldKey>FWPM_CONDITION_IP_LOCAL_PORT</fieldKey> <matchType>FWP_MATCH_EQUAL</matchType> <conditionValue> <type>FWP_UINT16</type> <uint16>445</uint16> </conditionValue> </item> <item> <fieldKey>FWPM_CONDITION_IP_PROTOCOL</fieldKey> <matchType>FWP_MATCH_EQUAL</matchType> <conditionValue> <type>FWP_UINT8</type> <uint8>6</uint8> </conditionValue> </item> <item> <fieldKey>FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE</fieldKey> <matchType>FWP_MATCH_EQUAL</matchType> <conditionValue> <type>FWP_UINT8</type> <uint8>1</uint8> </conditionValue> </item> </filterCondition> <action> <type>FWP_ACTION_BLOCK</type> <filterType/> </action>
我們受到了加密貨幣礦工惡意軟體的攻擊。它在 Windows 過濾平台 (WFP) 中添加了 SMB TCP 445 阻塞。
執行以下命令列出策略和過濾列表:
netsh ipsec static show filterlist all netsh ipsec static show policy all
執行這些以刪除它們:
netsh ipsec static delete policy all netsh ipsec static delete filterlist all