远景论坛 - 微软极客社区 › 论坛 › 全新 Windows 论坛 - 微软全新一代操作系统 › Windows 10 论坛 > 求教如何封堵后门

查看: 1745|回复: 11

[求助] 求教如何封堵后门 [复制链接]
电梯直达
复制

aries0000

Rank: 2 Rank: 2

UID: 2276686
帖子: 84
PB币: 214
贡献: 0
技术: 0
活跃: 326

楼主

发表于 2021-11-2 09:22:10 IP属地湖南 |只看该作者 |倒序浏览

求教大神。

在下PCwin10系统，NAS也是win10系统，近期查看nas安全日志，发现PC每天都会扫描NAS的端口。
开启时间不一定，每次连续10多个端口，如图。

PC机上通过火绒剑工具，查到是system进程，PID：4,向NAS的IP：445发请求。
火绒剑查看进程，system进程下有smss.exe，PID：496，位置C:\Windows\System32\smss.exe

以前因为映射端口到公网，还有弱密码问题，局域网曾被黑客攻破，但在其种勒索病毒前就断网处理了，
勒索病毒没奏效，但应该是留后门了。
除了NAS没全盘格，所有的机器都全盘格式化做系统了，
PC应该是个干净系统，但仍然发现这个问题，其他客户机没有这个情况。

专杀工具也试过，没发现病毒

现在关闭了路由端口映射，所有的机器改过3389端口，改过管理员账户，设置强密码了。

因为我还需要用共享文件，所以139、445端口还不能封禁。
请教大神，还能如何清理这个后门，谢谢。

反对 0

sdlywb

Rank: 5 Rank: 5 Rank: 5

UID: 1965576
帖子: 476
PB币: 931
贡献: 0
技术: 0
活跃: 1722

沙发

发表于 2021-11-2 10:08:51 IP属地山东 |只看该作者

有个软件叫IPBAN，可以试一下。

chengyiqun

Rank: 9

UID: 4720714
帖子: 6258
PB币: 8186
贡献: 0
技术: 15
活跃: 2117

板凳

发表于 2021-11-2 10:13:02 IP属地安徽 |只看该作者

没遇到这种情况, 先检查下你pc的凭据管理器

aries0000

Rank: 2 Rank: 2

UID: 2276686
帖子: 84
PB币: 214
贡献: 0
技术: 0
活跃: 326

4^F

发表于 2021-11-2 10:25:38 IP属地湖南 |只看该作者

sdlywb 发表于 2021-11-2 10:08
有个软件叫IPBAN，可以试一下。

谢谢，这是我自己用的PC，ban掉也不太合适呀。我估计我应该在PC上找问题

aries0000

Rank: 2 Rank: 2

UID: 2276686
帖子: 84
PB币: 214
贡献: 0
技术: 0
活跃: 326

5^F

发表于 2021-11-2 10:27:40 IP属地湖南 |只看该作者

chengyiqun 发表于 2021-11-2 10:13
没遇到这种情况, 先检查下你pc的凭据管理器

谢谢，两台都是新装系统，内网我也再没保存过密码，每次手动输入，目前应该是把黑客从外网进入的渠道关闭了，但内网没清理太干净

SakuyaPrs

Rank: 2 Rank: 2

UID: 4858969
帖子: 138
PB币: 942
贡献: 0
技术: 0
活跃: 934

6^F

发表于 2021-11-2 10:32:49 IP属地广东 |只看该作者

也许精简掉一些服务或组件就可以了?

xfeiyun

我是水神不是大神

Rank: 19

UID: 609560
帖子: 59632
PB币: 1230
贡献: 0
技术: 236
活跃: 12788

7^F

发表于 2021-11-2 11:25:27 IP属地江西 |只看该作者

有些人没事就到处扫描，没办法的

aqyh aqyh 当前离线积分 1256 最后登录 2024-1-28 精华 0 阅读权限 0 主题 45 UID 4805881 帖子 2465 PB币 1446 威望 45 贡献 0 技术 0 活跃 527 发消息头像被屏蔽 UID 4805881 帖子 2465 PB币 1446 贡献 0 技术 0 活跃 527 串个门加好友打招呼发消息	8^F 发表于 2021-11-2 14:09:42 IP属地江苏 \|只看该作者提示: 作者被禁止或删除内容自动屏蔽