RPC漏洞入侵和防范

1. 漏洞简述 RPC（Remote Procedure Call，即远程过程调用）漏洞是2003年影响最大、造成损失最为严重、涉及的操作系统最多（Windows NT、Windows 2000、Windows XP、Windows 2003）的漏洞。RPC是Windows操作系统使用的一个协议，它提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。 RPC中处理通过TCP/IP的消息交换的部分有一个漏洞，此问题是由于错误地处理格式不正确的消息造成的。为利用此漏洞，可以通过发送格式不正确的RPC消息，攻击者就能够使一台计算机上的RPC服务出现问题，进而使任意代码得以执行，这样攻击者就能够对系统执行任何操作，包括安装程序，查看、更改或删除数据，或者创建拥有完全权限的新帐户。 什么是RCP？ RPC（Reemote Procedure Call，即远程过程调用）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用RPC的程序不必了解支持通信的网络协议的情况，因此RPC提高了程序的互操作性。在RPC中，发出请求的程序是客户程序，而提供服务的程序是服务器。 2. RPC漏洞入侵现象 RCP漏洞被攻击后的主要表现如下所列。 ① 系统资源占用率较大，CPU一直处在98％以上，并且系统中也没有运行什么较大的程序。 ② 系统弹出【系统关机】对话框，并且系统反复重启，有时也会出现在IE中不能打开新窗口、不能进行复制、粘贴等现象。 3. RPC漏洞的防范 l 检查是否被MSBLAST蠕虫感染 ① 检查X:\WINDOWS\system32（X为系统安装盘符）目录下是否存在msblast.exe文件。 ② 在【注册表编辑器】窗口中展开HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run项，查看右窗格中是否存在“windows auto update”=“msblaste.exe”。 ③ 选择【开始】Ø【运行】菜单项，打开【运行】对话框，输入“taskmgr”后单击按钮，弹出【Windows 任务管理器】窗口，在该窗口中的【进程】选项卡下查看是否存在msblast.exe进程。 需要用户注意的是：如果以上至少有一点出现在电脑系统中，那么就说明自己的系统中了MSBLAST蠕虫病毒了。 l 更改RCP服务设置 选择【开始】Ø【控制面板】菜单项打开【控制面板】窗口，双击【管理工具】图标进入【管理工具】窗口，再双击【服务】图标打开【服务】窗口。 在【名称】下方的选项栏中拖动滑块找到并双击【Remote Procedure Call （RPC）】选项，弹出【Remote Procedure Call （RPC）的属性本地计…】对话框，然后切换到【恢复】选项卡。 3：在【第一次失败】、【第二次失败】和【第三次失败】各自的下列列表框中选择【不操作】复选框，最后单击确定按钮即可。