一次5986端口应急响应

前言

我的主机今天登录突然发现报错”登录错误太多次账户被锁定“，我突然感觉纳闷，我平常都是在我自己电脑保存密码，每次登录都是默认登录，不存在登录失败，难道被攻击了？话不多说立马展开排查

暴露面检查

因为我在openwrt上映射了5000-10000的端口上互联网，避开了smb，rdp等危险端口，理论上来说不应该能被爆破。

日志排查

在排查主机日志的时候发现有登录失败日志

威胁确认

查了下是个外省的ip，被标记恶意了

入口排查

再根据主机排查连接的端口，发现该恶意ip正在尝试连接我的5985端口

威胁分析

有点懵逼，没见过这个端口，后来在问了下度娘，发现是个远程控制端口，艹

5985端口

WinRM是Windows Remote Managementd（Windows远程管理）的简称。它基于Web服务管理(WebService-Management)标准，WinRM2.0默认端口5985/tcp (HTTP)、5986/tcp (HTTPS)。如果所有的机器都是在域环境下，则可以使用默认的5985端口，否则的话需要使用HTTPS传输(5986端口)。使用WinRM我们可以在对方有设置防火墙的情况下远程管理这台服务器，因为启动WinRM服务后，防火墙默认会放行5985端口。WinRM服务在Windows Server 2012以上服务器自动启动。在WindowsVista上，服务必须手动启动。WinRM的好处在于，这种远程连接不容易被察觉到，也不会占用远程连接数！

利用方式

#开启服务
enable-psremoting

#设置信任主机
set-item wsman:\localhost\Client\TrustedHosts -value 192.168.52.143

#连接
winrs ‐r:192.168.52.143 ‐u:账户 ‐p:密码

安全检查

赶紧排查一波我还监听有什么开放端口，还发现两个5357和6443端口，6443是我自己开的的webdav端口

5357端口

该端口对应着FunctionDiscoveryResourcePublication服务，它的含义是发布该计算机以及连接到该计算机的资源，以便能够在网络上发现这些资源。该端口的开启可能会造成计算机内部信息的泄露，因此需要关闭该端口，也就是禁用FunctionDiscoveryResourcePublication服务

安全加固

禁用服务

WinRM

FunctionDiscoveryResourcePublication

防火墙拦截