奇怪為何 XP 的 IPC$ 一直有人連線進來!?是被入侵嗎?

今天碰到個怪事
朋友用 Hinet Adsl 撥接 (單機 浮動 IP ) ,XP Pro 裡的 IPC$ 一直有人會連線進來,而且IP 還一直更換(不知是大家一起來逛街,還是對方換 IP?)!!
將 Adsl 斷線重新撥接(換 IP )一上線不到 5 分鐘,又有人連上來了....!!
電腦管理的『共用資料夾』裡的 C$ ˋD$ ˋAdmin$ ..等都已將分享關了,只剩 IPC$ 沒關!

如果在 Lan 卡上開啟 XP 內建防火牆,一樣會有好幾人連 IPC$ 上來...
但如果將 『Adsl 連線』開啟防火牆, IPC$ 就不會在有人上來了

內心幾個疑惑想像板上先進請教:

1.如用 XP 內建 Adsl 撥接程式連線,XP 內建的防火牆是該開在 Lan 卡或 Adsl 連線上!?防火牆開在 Lan 或 Adsl 有差異嗎!?
2.為何單機 Adsl 撥接連上網路,IPC$ 會一值出現有人連線!?這是何緣故!?
3.Administrator 及 User ID 都已設密碼,並且 C$ˋD$ ˋAdmin$ ..分享都已關閉,他們是如何連上來的!?
4,連上 IPC$ 是不是代表對方已成功連線進來,或是對方只是在試探要連線進來!?
5.用 Active Port 監視連線 Port 卻沒有發現奇怪的軟體連線...乎
6.用 Norton AntiVirus 2004 及 Symsntec 線上掃毒都沒發現病毒..!難道是木馬上身嗎!?

系統: 單機ˋ WinXP Pro ˋHinet Adsl 撥接(浮動 IP 2M/256k)

以下是 IPC$ 被連線及對方 IP 的圖檔
http://home.pchome.com.tw/love/yu_gimmy2/Error/Share1.GIF
http://home.pchome.com.tw/love/yu_gimmy2/Error/Share2.GIF
http://home.pchome.com.tw/love/yu_gimmy2/Error/Share3.GIF
http://home.pchome.com.tw/love/yu_gimmy2/Error/Share4.GIF
http://home.pchome.com.tw/love/yu_gimmy2/Error/Share6.GIF
http://home.pchome.com.tw/love/yu_gimmy2/Error/Share7.GIF

贊助商連結

經過一夜折騰,問題大概釐清了,但剩下一些疑問,還沒有答案!!

1.並非 Hinet 的 Users 比較容易被攻擊!這是個人的誤解!
因為三台 PC 裡有兩台是透過分享器上線 (Atu-R 改硬撥,再 MAP 需要用到 Port)虛擬 IP,唯有 Hinet 這台 PC 是利用 XP 內建 Adsl 撥號程式上線(真實 IP)。

因為對方是連接 TCP 445 Port ˋTCP 135 Port ,而其他兩台用 SeedNetˋSo-Net 上網的 PC 因為是透過 NAT 轉址, 135ˋ445 TCP Port 都被擋掉了,所以不會發生有人連線的情形!!

將其他兩台 PC 改成用 XP Adsl 撥接上網 (真實 IP),同樣也會發生一直有人連上 445 Port 的現象!

2.如果將 XP 內建防火牆開在 Adsl 連線上,就可避免這問題,可能是防火牆在前面已經攔下了"封包"!

3.Messenger Services 有無開啟,對於 IP$ 被連線的問題完全沒有影響!
(謝謝版主提供寶貴訊息:主控台信息是透過 Messenger Services 傳送)

4.有興趣的朋友可以模擬一下環境 Try!
XP Pro (Home 沒 Try IT)ˋXP Adsl 連線,前面不要有 NAT 及 防火牆不!
觀察『電腦管理』裡的『共用資料夾』IPC$ 連線
用 Active Ports (http://www.ntutility.com/aports.zip) 監控 Port 連線狀態!可以發現 135ˋ445 Port 一直有莫名的 IP 連線上來!

幾點問題請教:
1.135ˋ445 TCP Port 是做什麼用途!?
我只知 135 網芳一定會用到,445 Port 完全不清楚!
我查了這兩 Port 的用途(如下)但還是不清楚他們實際用途!有朋友可以稍作解釋嗎?

135 / tcp epmap DCE endpoint resolution
445/tcp microsoft-ds Microsoft-DS

2.對方連上 IPC$ (445 Port)ˋ135 Port 代表對方已成功進入電腦嗎!?

3.連到 445 Port 的 IP 會快速異動,這是對方在掃 Port 嗎? 445 Port 有何弱點嗎?掃這 Port 有何用意?

PS:
下載下載 Active Ports (監控 TCPˋUDP 連線) (http://www.ntutility.com/aports.zip)

請問一下 ~GG~
您的XP是不是Super XP呢？
我安裝Super XP後也發現到 IPC$ 常有人連線進來
然後 \PIPE\lsarpc 也是被開啟中
後來我將"我的電腦"->"內容"->"遠端"頁->"遠端協助"欄裡的"允許從這部電腦發出遠端協助的要求"這個不勾取
(安裝完Super XP後，這是被勾取的狀態)
當我取消後，再重機就沒發現過有人連至我的IPC$

最初由 RyoBoy 發表
請問一下 ~GG~
您的XP是不是Super XP呢？
我安裝Super XP後也發現到 IPC$ 常有人連線進來
然後 \PIPE\lsarpc 也是被開啟中
後來我將"我的電腦"->"內容"->"遠端"頁->"遠端協助"欄裡的"允許從這部電腦發出遠端協助的要求"這個不勾取
(安裝完Super XP後，這是被勾取的狀態)
當我取消後，再重機就沒發現過有人連至我的IPC$

我並非安裝 SuperXP,而是循正常程序安裝 XP 再至 M$ 網站更新!
IP$ 連線跟遠端協助應該沒有關係

目前這些問題都以解決也知道問題真相了,原來是有人中毒試圖透過 IPC$ 連線來散撥"禍種"...$#@
小弟 不才將這兩日蒐集的資料整理出來,如有繆誤還請指正..

1.2K ˋXP Pro 系統會自動幫您開啟系統根資料夾(C$ˋD$..)ˋFAX$ˋIPC$ˋPRINT$ˋIPC$ ..等共用,這是正常現象!(XP Home 唯有開啟 IPC$)

這些自動共享資料夾都可以透過登錄檔去將其關閉,關閉自動分享機碼請參照底下說明:

重要：預設 IPC$ 系統管理共用為伺服器服務所需，也無法刪除。 Microsoft 建議您不要刪除 Windows 針對根磁碟分割與磁碟區 (例如 C$) 與系統根資料夾 (ADMIN$) 建立的系統管理磁碟分割。這會對系統管理員與依存這些共用的程式或服務造成問題。例如，Microsoft Systems Management Server (SMS) 與 Microsoft Operations Manager 2000 需要有系統管理共用，才能正確安裝與運作。

如果要刪除所有根磁碟分割與磁碟區 (例如 C$) 以及系統根資料夾 (ADMIN$) 的隱藏系統管理共用，並防止 Windows 重新建立它們，請在下列登錄機碼加入 AutoShareWks DWORD 值並將這個值的資料設為 0：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

2.雖然除了 IPC$ 以外的分享都已經關了,還是很多不明 IP 連上 445 Port 或 135 Port!那是"a a "Sasser 病毒" (http://cert.ntu.edu.tw/document/sasser.htm)在發春,只要有做好安全措施(OS 更新ˋ防火牆ˋAdmin 及 UserID 有設複雜密碼),就毋需驚恐..!

3.乾脆自宮去除『禍根』(將 139ˋ445 Port 關掉)以免後患如何!?
文件名稱：關閉Port139(NetBIOS) & 445(SMB)
文件作者：Tek
登錄時間：2003-07-21 05:33:20 - BY [tek]
--------------------------------------------------------------------------------
NetBIOS 是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務，使用者可以經過遠端方式存取本機電腦，預設包括 IPC$, C$, Admin$ share等• 基本上這是一個非常方便的資源，但由於它可以遠端連線存取，我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下，我們甚至根本不需要這種服務存在! 所以，我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉 (以下適用給Windows 2000, XP使用者):
這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成，如果您對修改Registry 沒有把握或不瞭解，建議您先將資料backup，必免無法修復的意外發生•

【Port 139】關閉NetBIOS

在Regedit.exe 裡，在HKEY_LOCAL_MACHINE打開:
SYSTEM\CurrentControlSet\Control\LSA
裡頭會有一個名稱叫:
RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果: 匿名限制)

前往控制台 -> 系統管理工具 -> 服務:
1. 停止 TCP/IP NetBIOS Helper 服務，並修改成手動
2. 停止 NetBIOS Interface，如果您找不到這一項，您可至 DOS 停止:
net sop netbios
(效果:停止NetBIOS運作)

再開啟regedit.exe ，在HKEY_LOCAL_MACHINE展開:
SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
將名稱為AutoShareServer或AutoShareWks的DWORD值改為: 0
(效果:停止自動分享)

在系統管理工具，這一次開啟電腦管理，把所有您在共用資料夾的資源全部都移除
(效果:停止分享資源)

【Port 445】關閉SMB Session

當Port 139不存在(無回應)的時候，Windows會自己自動開啟Port 445，也就是SMB Session (Server Message Block)• 如果這一個端口是開啟的，那麼遠端使用者就有辦法知道您的電腦很多資訊，例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain... 等等• 所以，建議您關閉SMB Session:

再開啟regedit.exe，在HKEY_LOCAL_MACHINE展開:
System\CurrentControlSet\Services\NetBT\Parameters
裡頭會有一個名稱叫做:TransportBindName
把這一個名稱的值清空

這樣子，Windows下一次就不會再自動開啟Port 445了•

【完成最後動作】重新開機

最後，建議您馬上重新開機讓所有剛修改的設定生效• 等您重新登入Windows後，開啟DOS，輸入:

netstat -a -n

您會發現 Port 139 及445 消失了•(Good news ^_^)

附註:
1.135 Port 是MSRPC，跟檔案分享無關，通常是一些管理工具會用到。
2.TCP 445一個Port或UDP 137, 138; TCP 139三個加起來都可以達成檔案共享。
3.IPC$ 連線時也可以算是已進入您的電腦，只是只有非常低的權限。
4.IP 快數異動是因有多台電腦在勾引你的電腦腦，它就是利用 IP$取得一些資訊，除此之外還可以暴力破解方式得到帳號的密碼。

請問~GG~ 大大：

你最後附註的意思是不是：
就算關閉 Port 145,139 也不會影響網芳上的資源共享呢?

另外,很感謝你提供這麼詳細的說明!
3Q!!

大大救命啊
我照您的方法
把電腦管理的『共用資料夾』裡的 C$ ˋD$ ˋAdmin$ ..等都已將分享關了
可是卻不知道要如何恢復
天啊

請問~GG~ 大大：

你最後附註的意思是不是：
就算關閉 Port 145,139 也不會影響網芳上的資源共享呢?

另外,很感謝你提供這麼詳細的說明!
3Q!!

只要留 TCP 445 一個Port 或 UDP 137+ UDP 138 + TCP 139 ，任一組合就可達成檔案分享功能!

大大救命啊
我照您的方法
把電腦管理的『共用資料夾』裡的 C$ ˋD$ ˋAdmin$ ..等都已將分享關了
可是卻不知道要如何恢復
天啊

反向操做就好了!

如果要刪除所有根磁碟分割與磁碟區 (例如 C$) 以及系統根資料夾 (ADMIN$) 的隱藏系統管理共用，並防止 Windows 重新建立它們，請在下列登錄機碼加入 AutoShareWks DWORD 值並將這個值的資料設為 0：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

反向操做就好了!

如果要刪除所有根磁碟分割與磁碟區 (例如 C$) 以及系統根資料夾 (ADMIN$) 的隱藏系統管理共用，並防止 Windows 重新建立它們，請在下列登錄機碼加入 AutoShareWks DWORD 值並將這個值的資料設為 0：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

請教一下,那如果我想XP可以恢復跟2000利用網路進入各個磁碟,該如何設定?
ex://192.168.0.10/c$ --->2000可以,XP home/pro好像不行了!
謝謝了~~~