方程式组织最近公布的windows 0day漏洞临时修复方法

2017年4月15日，国外黑客组织Shadow Brokers泄露出了一份机密文档，其中包含了多个Windows 0Day远程漏洞利用工具，外部攻击者利用此工具可远程攻击并获取服务器控制权限，该漏洞影响极大。

目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列)：

方程式组织0day漏洞能对135，137，139，445和远程端口进行入侵并获取最高权限。

【风险等级】
高风险

【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。

【影响服务】
主要影响SMB和RDP服务

【漏洞验证】

确定服务器是否对外开启了137、139、445端口

测试方法：服务器命令行窗口执行netstat -an查看是否有相应对口开放，同时亦可以通过访问http://tool.chinaz.com/port/（输入IP，下面填入137,139,445,3389）判断服务端口是否对外开启。注意：rdp是远程桌面服务，不局限于3389端口，如果您的windows远程桌面使用了其他端口，也在受影响之列。

临时修复漏洞脚本代码：

@echo off
color 0a
title @@ 使用ipsec双向禁止135,137,139,445端口，更改远程端口 @@
echo ******************************************************************
echo * 请确保没有安全软件或权限拦截 ，使用ipsec双向禁止135,137,139,445端口*
echo ******************************************************************
echo.
@ netsh ipsec static add policy name=BAN-135-137-139-445
@ netsh ipsec static add filterlist name=135and137and139and445
@ netsh ipsec static add filteraction block action=block
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=135
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=137
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=139
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=TCP dstport=445
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=135
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=137
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=139
@ netsh ipsec static add filter filterlist=135and137and139and445 srcaddr=any dstaddr=any protocol=UDP dstport=445
@ netsh ipsec static add rule name=BAN-135-137-139-445 policy=BAN-135-137-139-445 filterlist=135and137and139and445 filteraction=block
@ netsh ipsec static set policy name=BAN-135-137-139-445 assign=y
echo.
echo 现在已经禁止135,137,139,445端口
echo.
echo 按任意键更改远程端口，如无需更改请右上角关闭本窗口
pause>nul
echo *******************************************************************************
echo * 请确保没有安全软件或权限拦截，端口推荐范围：10000-65535，不能与其他端口冲突 *
echo *******************************************************************************
echo.
set /p port=请输入端口号：
reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWds
dpwdTds	cp" /v PortNumber /t reg_dword /d %port% /f
reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber /t reg_dword /d %port% /f
echo.
echo ***************************
echo * 远程端口需重启服务器生效*
echo ***************************
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t reg_dword /d 1 /f
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t reg_dword /d 0 /f
echo.
echo 按任意键退出...
pause>nul
exit

把上述代码保存为xx.bat 双击执行，剩下的就是请稳定好情绪，坐等微软出补丁。

本教程由铁网维原创出品 服务器运维官方网址http://www.tieww.com 欢迎大家多多关注本站 感谢大家的支持。