客户在从大部分内部系统访问关键 Windows 2008R2 服务器的文件共享时遇到问题。快速浏览显示 Windows 防火墙已关闭,但只有少数系统可以访问共享。
我尝试了正常的故障排除步骤,甚至重新创建了虚拟网络适配器 (VMware) 并更改了 IP 地址、清除 mac 表、ARP 等。
最后,我在 Windows 过滤平台 (WFP) 中发现了一组过滤器,它们明确阻止了端口 445 流量的进出。这可能是恶意软件在某些时候造成的,但我正在寻找一种方法来删除这些过滤器(通过 filterID)或完全禁用过滤系统。
这是我所看到的:https ://pastebin.com/BRhE4sJd
这甚至可能吗?我在网上看到的只是一个 C++ API ...
片段:
<item>
<fieldKey>FWPM_CONDITION_IP_LOCAL_PORT</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_UINT16</type>
<uint16>445</uint16>
</conditionValue>
</item>
<item>
<fieldKey>FWPM_CONDITION_IP_PROTOCOL</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_UINT8</type>
<uint8>6</uint8>
</conditionValue>
</item>
<item>
<fieldKey>FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE</fieldKey>
<matchType>FWP_MATCH_EQUAL</matchType>
<conditionValue>
<type>FWP_UINT8</type>
<uint8>1</uint8>
</conditionValue>
</item>
</filterCondition>
<action>
<type>FWP_ACTION_BLOCK</type>
<filterType/>
</action>
我们受到了加密货币矿工恶意软件的攻击。它在 Windows 过滤平台 (WFP) 中添加了 SMB TCP 445 阻塞。
运行以下命令列出策略和过滤列表:
运行这些以删除它们: