會員 | 【求助】奇怪為何 XP 的 IPC$ 一直有人連線進來!?是被入侵嗎? 奇怪為何 XP 的 IPC$ 一直有人連線進來!?是被入侵嗎? 今天碰到個怪事 朋友用 Hinet Adsl 撥接 (單機 浮動 IP ) ,XP Pro 裡的 IPC$ 一直有人會連線進來,而且IP 還一直更換(不知是大家一起來逛街,還是對方換 IP?)!! 將 Adsl 斷線重新撥接(換 IP )一上線不到 5 分鐘,又有人連上來了....!! 電腦管理的『共用資料夾』裡的 C$ ˋD$ ˋAdmin$ ..等都已將分享關了,只剩 IPC$ 沒關! 如果在 Lan 卡上開啟 XP 內建防火牆,一樣會有好幾人連 IPC$ 上來... 但如果將 『Adsl 連線』開啟防火牆, IPC$ 就不會在有人上來了 內心幾個疑惑想像板上先進請教: 1.如用 XP 內建 Adsl 撥接程式連線,XP 內建的防火牆是該開在 Lan 卡或 Adsl 連線上!?防火牆開在 Lan 或 Adsl 有差異嗎!? 2.為何單機 Adsl 撥接連上網路,IPC$ 會一值出現有人連線!?這是何緣故!? 3.Administrator 及 User ID 都已設密碼,並且 C$ˋD$ ˋAdmin$ ..分享都已關閉,他們是如何連上來的!? 4,連上 IPC$ 是不是代表對方已成功連線進來,或是對方只是在試探要連線進來!? 5.用 Active Port 監視連線 Port 卻沒有發現奇怪的軟體連線...乎 6.用 Norton AntiVirus 2004 及 Symsntec 線上掃毒都沒發現病毒..!難道是木馬上身嗎!? 系統: 單機ˋ WinXP Pro ˋHinet Adsl 撥接(浮動 IP 2M/256k) 以下是 IPC$ 被連線及對方 IP 的圖檔 |
回覆 |
會員 | 經過一夜折騰,問題大概釐清了,但剩下一些疑問,還沒有答案!! 1.並非 Hinet 的 Users 比較容易被攻擊!這是個人的誤解! 因為三台 PC 裡有兩台是透過分享器上線 (Atu-R 改硬撥,再 MAP 需要用到 Port)虛擬 IP,唯有 Hinet 這台 PC 是利用 XP 內建 Adsl 撥號程式上線(真實 IP)。 因為對方是連接 TCP 445 Port ˋTCP 135 Port ,而其他兩台用 SeedNetˋSo-Net 上網的 PC 因為是透過 NAT 轉址, 135ˋ445 TCP Port 都被擋掉了,所以不會發生有人連線的情形!! 將其他兩台 PC 改成用 XP Adsl 撥接上網 (真實 IP),同樣也會發生一直有人連上 445 Port 的現象! 2.如果將 XP 內建防火牆開在 Adsl 連線上,就可避免這問題,可能是防火牆在前面已經攔下了"封包"! 3.Messenger Services 有無開啟,對於 IP$ 被連線的問題完全沒有影響! (謝謝版主提供寶貴訊息:主控台信息是透過 Messenger Services 傳送) 4.有興趣的朋友可以模擬一下環境 Try! XP Pro (Home 沒 Try IT)ˋXP Adsl 連線,前面不要有 NAT 及 防火牆不! 觀察『電腦管理』裡的『共用資料夾』IPC$ 連線 用 Active Ports 監控 Port 連線狀態!可以發現 135ˋ445 Port 一直有莫名的 IP 連線上來! 幾點問題請教: 1.135ˋ445 TCP Port 是做什麼用途!? 我只知 135 網芳一定會用到,445 Port 完全不清楚! 我查了這兩 Port 的用途(如下)但還是不清楚他們實際用途!有朋友可以稍作解釋嗎? 135 / tcp epmap DCE endpoint resolution 445/tcp microsoft-ds Microsoft-DS 2.對方連上 IPC$ (445 Port)ˋ135 Port 代表對方已成功進入電腦嗎!? 3.連到 445 Port 的 IP 會快速異動,這是對方在掃 Port 嗎? 445 Port 有何弱點嗎?掃這 Port 有何用意? PS: 下載下載 Active Ports (監控 TCPˋUDP 連線) |
回覆 |
會員 | 請問一下 ~GG~ 您的XP是不是Super XP呢? 我安裝Super XP後也發現到 IPC$ 常有人連線進來 然後 \PIPE\lsarpc 也是被開啟中 後來我將"我的電腦"->"內容"->"遠端"頁->"遠端協助"欄裡的"允許從這部電腦發出遠端協助的要求"這個不勾取 (安裝完Super XP後,這是被勾取的狀態) 當我取消後,再重機就沒發現過有人連至我的IPC$ |
回覆 |
會員 | 引用:
IP$ 連線跟遠端協助應該沒有關係 目前這些問題都以解決也知道問題真相了,原來是有人中毒試圖透過 IPC$ 連線來散撥"禍種"...$#@ 小弟 不才將這兩日蒐集的資料整理出來,如有繆誤還請指正.. 1.2K ˋXP Pro 系統會自動幫您開啟系統根資料夾(C$ˋD$..)ˋFAX$ˋIPC$ˋPRINT$ˋIPC$ ..等共用,這是正常現象!(XP Home 唯有開啟 IPC$) 這些自動共享資料夾都可以透過登錄檔去將其關閉,關閉自動分享機碼請參照底下說明: 重要:預設 IPC$ 系統管理共用為伺服器服務所需,也無法刪除。 Microsoft 建議您不要刪除 Windows 針對根磁碟分割與磁碟區 (例如 C$) 與系統根資料夾 (ADMIN$) 建立的系統管理磁碟分割。這會對系統管理員與依存這些共用的程式或服務造成問題。例如,Microsoft Systems Management Server (SMS) 與 Microsoft Operations Manager 2000 需要有系統管理共用,才能正確安裝與運作。 如果要刪除所有根磁碟分割與磁碟區 (例如 C$) 以及系統根資料夾 (ADMIN$) 的隱藏系統管理共用,並防止 Windows 重新建立它們,請在下列登錄機碼加入 AutoShareWks DWORD 值並將這個值的資料設為 0: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 2.雖然除了 IPC$ 以外的分享都已經關了,還是很多不明 IP 連上 445 Port 或 135 Port!那是"a a "Sasser 病毒"在發春,只要有做好安全措施(OS 更新ˋ防火牆ˋAdmin 及 UserID 有設複雜密碼),就毋需驚恐..! 3.乾脆自宮去除『禍根』(將 139ˋ445 Port 關掉)以免後患如何!? 文件名稱:關閉Port139(NetBIOS) & 445(SMB) 文件作者:Tek 登錄時間:2003-07-21 05:33:20 - BY [tek] -------------------------------------------------------------------------------- NetBIOS 是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務,使用者可以經過遠端方式存取本機電腦,預設包括 IPC$, C$, Admin$ share等• 基本上這是一個非常方便的資源,但由於它可以遠端連線存取,我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下,我們甚至根本不需要這種服務存在! 所以,我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉 (以下適用給Windows 2000, XP使用者): 這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成,如果您對修改Registry 沒有把握或不瞭解,建議您先將資料backup,必免無法修復的意外發生• 【Port 139】關閉NetBIOS 在Regedit.exe 裡,在HKEY_LOCAL_MACHINE打開: SYSTEM\CurrentControlSet\Control\LSA 裡頭會有一個名稱叫: RestrictAnonymous 修改它的DWORD 值為: 00000001 (效果: 匿名限制) 前往控制台 -> 系統管理工具 -> 服務: 1. 停止 TCP/IP NetBIOS Helper 服務,並修改成手動 2. 停止 NetBIOS Interface,如果您找不到這一項,您可至 DOS 停止: net sop netbios (效果:停止NetBIOS運作) 再開啟regedit.exe ,在HKEY_LOCAL_MACHINE展開: SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 將名稱為AutoShareServer或AutoShareWks的DWORD值改為: 0 (效果:停止自動分享) 在系統管理工具,這一次開啟電腦管理,把所有您在共用資料夾的資源全部都移除 (效果:停止分享資源) 【Port 445】關閉SMB Session 當Port 139不存在(無回應)的時候,Windows會自己自動開啟Port 445,也就是SMB Session (Server Message Block)• 如果這一個端口是開啟的,那麼遠端使用者就有辦法知道您的電腦很多資訊,例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain... 等等• 所以,建議您關閉SMB Session: 再開啟regedit.exe,在HKEY_LOCAL_MACHINE展開: System\CurrentControlSet\Services\NetBT\Parameters 裡頭會有一個名稱叫做:TransportBindName 把這一個名稱的值清空 這樣子,Windows下一次就不會再自動開啟Port 445了• 【完成最後動作】重新開機 最後,建議您馬上重新開機讓所有剛修改的設定生效• 等您重新登入Windows後,開啟DOS,輸入: netstat -a -n 您會發現 Port 139 及445 消失了•(Good news ^_^) 附註: 1.135 Port 是MSRPC,跟檔案分享無關,通常是一些管理工具會用到。 2.TCP 445一個Port或UDP 137, 138; TCP 139三個加起來都可以達成檔案共享。 3.IPC$ 連線時也可以算是已進入您的電腦,只是只有非常低的權限。 4.IP 快數異動是因有多台電腦在勾引你的電腦腦,它就是利用 IP$取得一些資訊,除此之外還可以暴力破解方式得到帳號的密碼。 | |
回覆 |
會員 | 請問~GG~ 大大: 你最後附註的意思是不是: 就算關閉 Port 145,139 也不會影響網芳上的資源共享呢? 另外,很感謝你提供這麼詳細的說明! 3Q!! |
回覆 |
會員 | 大大救命啊 我照您的方法 把電腦管理的『共用資料夾』裡的 C$ ˋD$ ˋAdmin$ ..等都已將分享關了 可是卻不知道要如何恢復 天啊 |
回覆 |
會員 | 引用:
| |
回覆 |
會員 | 引用:
如果要刪除所有根磁碟分割與磁碟區 (例如 C$) 以及系統根資料夾 (ADMIN$) 的隱藏系統管理共用,並防止 Windows 重新建立它們,請在下列登錄機碼加入 AutoShareWks DWORD 值並將這個值的資料設為 0: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | |
回覆 |
會員 | 引用:
ex://192.168.0.10/c$ --->2000可以,XP home/pro好像不行了! 謝謝了~~~ | |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
【問題】欲由 XP 系統執行 Winnt32 重灌 XP ,卻無法 Format C: | ~GG~ | -- Windows 討 論 版 | 7 | 2007-10-16 08:47 AM |
【求助】請問 XP 的 IPC$ 一直有人連線進來!?是被入侵嗎? | shlin | -- HELP ME 電 腦 軟 硬 體 急 救 版 | 0 | 2005-07-15 11:39 AM |
【求助】Win xp home 不可與Win xp professional 成為網路芳鄰,共用資料夾嗎 | ldsnet | -- 網 路 技 術 版 | 3 | 2005-04-21 06:15 PM |
【求助】\\SKY\IPC$ | suchangchun | -- Windows 討 論 版 | 3 | 2002-11-19 02:05 AM |
無法連線(IPC$) | jentze | -- 網 路 技 術 版 | 2 | 2002-01-08 11:19 AM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。