敬告天下数据客户：

　　2017年4月14日，国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，包含了多个Windows 远程漏洞利用工具，该工具包可以可以覆盖全球70%的Windows服务器，并且在最近大规模windows2008 服务器大量被攻击，现在很多服务(windows 2008 系统)都中了 svchost.exe病毒导致CPU使用率100% ，并大量往外发包，天下数据及团队已发现部分客户“中招”，引发出一系列不必要麻烦。针对此漏洞，天下数据工程师团队推出有效解决办法：下载360杀毒软件进行杀毒，可以解决问题CPU使用率过高的问题，但是如果需要完全的避免这个问题需要更新微软windows 2008 系统最新的补丁。相关漏洞信息如下：

　　漏洞名称:

　　Windows系统多个SMB\RDP远程命令执行漏洞

　　官方评级:

　　高危

　　漏洞描述:

　　国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，包含了多个Windows 远程漏洞利用工具，该工具包可以可以覆盖全球70%的Windows服务器，可以利用SMB、RDP服务成功入侵服务器。

　　漏洞影响范围:

　　已知受影响的Windows版本包括但不限于：

　　Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

　　漏洞检测:

　　确定服务器对外开启了137、139、445、3389端口，排查方式如下:外网计算机上telnet 目标地址445，例如：telnet 114.114.114.114 445

　　漏洞修复建议

　　Windows Update更新补丁方式和修改默认远程端口

　　点击“开始”->“控制面板”->“Windows Update” ，点击“检查更新”

　　检查更新:

　　安装更新：

　　检查安装结果:

　　点击“查看更新历史记录”，检查安装的补丁:

　　重启生效

　　安装完成后，补丁安装状态为“挂起”，重启后生效：

　　修改默认远程端口

　　1、下载windows远程端口修改器

　　http://58.64.184.82/tools/3389.rar

　　2、将需要修改后1的端口添加到防火墙和安全狗(如果有安装)白名单

　　***********注意事项************

　　1、 请尽量用windows自带的更新，并且选择手动更新

　　2、 更新之前请务必完全关闭安全狗或者其他防病毒软件(安全狗的退出需要点击设置，临时关闭自保护，此处启动有效，并退出)。

　　3、 请选择在业务暂停的时候更新补丁

　　4、 更新后请查看补丁状态是挂起还是错误的选项，如果是错误，请准备超过一小时的重启时间，因为需要重新回滚错误更新。

　　5、 更新后重启之前，请备份至关重要的数据

　　6、 更新完成后，为了防止自动更新后重启机器，请关闭自动更新，选择手动安装更新。

　　更新有风险!!!更新有风险!!! 更新有风险!!!