最新的RPC漏洞信息,攻擊者只要向遠程計算機上的 135 端口發送特殊格式的請求就可以獲得對遠程計算機的完全控制,這使得攻擊者能夠對服務器隨意執行任何操作,包括更改網頁,格式化硬盤或者向本地管理員組中添加新的用戶。 此漏洞將會影響運行 MICROSOFT WINDOWS的用戶: Microsoft Windows NT 4.0 Microsoft Windows NT 4.0 Terminal Services Edition Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 (RPC) 是 Windows 操作系統使用的一個協議。RPC 提供了一種進程間通信機制,通過這一機制,5自學網,在一台計算機上運行的程序可以順暢地執行某個遠程系統上的代碼。該協議本身是從 OSF(開放式軟件基礎)RPC 協議衍生出來的,只是增加了一些 Microsoft 特定的擴展。 RPC 中處理通過 TCP/IP 的消息交換的部分有一個漏洞。此問題是由錯誤地處理格式不正確的消息造成的。這種特定的漏洞影響分布式組件對象模型 (DCOM) 與 RPC 間的一個接口,此接口偵聽 TCP/IP 端口 135。此接口處理客戶端計算機向服務器發送的 DCOM 對象激活請求(例如通用命名約定 (UNC) 路徑)。 此漏洞是由於 Windows RPC 服務在某些情況下不能正確檢查消息輸入而造成的。如果攻擊者在 RPC 建立連接後發送某種類型的格式不正確的 RPC 消息,則會導致遠程計算機上與 RPC 之間的基礎分布式組件對象模型 (DCOM) 接口出現問題,進而使任意代碼得以執行。 而135端口則成了問題出現的最根本的起源 對於服務器而言,我們現在需要做的就是盡可能快的封上你的135端口,以下是一些安全配制方法: A、在防火牆上封堵 135 端口。 135端口用於啟動與遠程計算機的 RPC 連接。連接到Internet的計算機應當在防火牆上封堵 135 端口,用以幫助防火牆內的系統防范通過利用此漏洞進行的攻擊。使用防火牆關閉所有不必要的端口,漏洞不僅僅影響135端口,還影響到大部分調用DCOM函數的服務端口,建議用戶使用網絡或是個人防火牆過濾以下端口: 135/TCP epmap 135/UDP epmap 139/TCP netbios-ssn 139/UDP netbios-ssn 445/TCP microsoft-ds 445/UDP microsoft-ds 593/TCP http-rpc-epmap 593/UDP http-rpc-epmap 如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 連接防火牆來保護您的 Internet 連接,則默認情況下會阻止來自 Internet 的入站 RPC 通信信息。 方案一: 1、關閉病毒攻擊的TCP/IP端口 a)使用Windows自帶的TCP/IP篩選功能 打開默認的網絡連接屬性(方法有右擊桌面網絡鄰居、控制面板網絡屬性) 單擊屬性,選擇常規頁的TCP/IP,再單擊屬性, 單擊高級,進入,再選擇TCP/IP篩選。然後單擊屬性,在TCP和UDP端口設置中選擇只允許,添加相應的端口,如80用於IE浏覽,其它的端口根據應用程序的設定相應修改。最後確定就OK了。 方案二: 使用金山網镖或者天網防火牆: 網镖高級功能可以非常方便的實現封閉和開放端口的功能。 單擊右下角金山網镖,在彈出的菜單中選擇配置選項,然後選擇高級頁選中使用IP包過濾技術,添加TCP、UDP的135、139、445端口,最新捕獲得的“新流言”病毒還要關閉4444端口。 提示:在做這一切前請先升級你的反病毒軟件和防火牆。 B、禁用所有受影響的計算機上的 DCOM 如果一台計算機是一個網絡的一部分,則該計算機上的 COM 對象將能夠通過 DCOM 網絡協議與另一台計算機上的 COM 對象進行通信。您可以禁用特定的計算機上的 DCOM,幫助其防范此漏洞,但這樣做會阻斷該計算機上的對象與其他計算機上的對象之間的所有通信。 如果您禁用一台遠程計算機上的 DCOM,此後,您將無法通過遠程訪問該計算機來重新啟用 DCOM。要重新啟用 DCOM,需要本地操作該計算機 手動為計算機啟用(或禁用) DCOM: 1.運行 Dcomcnfg.exe 如果您在運行 Windows XP 或 Windows Server 2003,則還要執行下面這些步驟: 單擊“控制台根節點”下的“組件服務”。 打開“計算機”子文件夾。 對於本地計算機,請以右鍵單擊“我的電腦”,然後選擇“屬性”。 對於遠程計算機,自學教程,請以右鍵單擊“計算機”文件夾,然後選擇“新建”,再選擇“計算機”。輸入計算機名稱。以右鍵單擊該計算機名稱,然後選擇“屬性”。 2.選擇“默認屬性”選項卡。 3.選擇(或清除)“在這台計算機上啟用分布式 COM”復選框。 4.如果您要為該計算機設置更多屬性,請單擊“應用”按鈕以啟用(或禁用) DCOM。否則,請單擊“確定”以應用更改並退出 Dcomcnfg.exe。 C、請立刻為你的計算機打相應的補丁。 Windows Server 2003 中文版(32位) ?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E Windows Server 2003 英文版(32位) ?displaylang=en&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E Windows Server 2003 英文版(64位) ?displaylang=en&FamilyID=2B566973-C3F0-4EC1-995F-017E35692BC7 Microsoft Windows XP 簡體中文版(32位) ?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Microsoft Windows XP 英文版(32位) ?displaylang=en&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074 Microsoft Windows XP 英文版(64位) ?displaylang=en&FamilyID=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1 Microsoft Windows 2000 簡體中文版(支持的操作系統Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 professional) ?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117 Microsoft Windows 2000 英文版(支持的操作系統Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 professional) ?displaylang=en&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117 Microsoft Windows NT 4.0 中文版 (支持的操作系統Windows NT, Windows NT4.0 Server, Enterprise Edition) ?displaylang=zh-cn&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F Microsoft Windows NT 4.0 英文版 (支持的操作系統Windows NT, Windows NT4.0 Server, Enterprise Edition) ?displaylang=en&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F Windows NT 4.0 Terminal Server Edition 英文版 ?displaylang=en&FamilyID=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA
