18,356
社区成员
发帖
与我相关
我的任务
分享[就着 MS03-026 炒冷饭]
2003.7.16. 与以往一样,微软公布了几个安全漏洞。如果订阅了微软的Microsoft Security Notification Service(http://register.microsoft.com/regsys/pic.asp 建议W32的程序员都订阅,尤其SQLServer用户)的朋友不妨看看你的信箱——3个安全漏洞,分别是:
1、Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
2、Unchecked Buffer in Windows Shell Could Enable System Compromise (821557)
3、Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (816456)
7.23. 接着公布了三个漏洞,其中与我们关系较大的是 MS03-031: Cumulative Patch for Microsoft SQL Server (815495)
可是,与2001年7-8月份及2002年7-8月份分别公布的IIS和SQLServer的若干漏洞一样没能得到广大的“Windows用户”和“SQLServer用户”的重视。与 CodeRed 和 SQLSlammer相比,由于种种边界隔离设备多多少少挡去了一些攻击,这一次的W32.Blaster.Worm没能造成太大的影响(遗憾?)。
昨天得知W32.Blaster.Worm传播的消息时,看到《CCERT关于W32.Blaster.Worm蠕虫的公告(草案)》,其中提到
-----------------------------------------
应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
-----------------------------------------
我没有样本,也没工夫去分析,不知道该蠕虫的传播机理是否进行了端口扫描,但我的团队开发的一个远程收发文系统中用到了RPC,端口是 5800。那么,我的RPC服务是否安全呢?
于是我想起早先写 RPC 应用时看到过的一篇文章,在这里与各位共享,希望对程序员有所帮助。
刊载于微软 MSDN 的:<Writing a Secure RPC Client or Server>
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp
1、Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
2、Unchecked Buffer in Windows Shell Could Enable System Compromise (821557)
3、Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (816456)
7.23. 接着公布了三个漏洞,其中与我们关系较大的是 MS03-031: Cumulative Patch for Microsoft SQL Server (815495)
可是,与2001年7-8月份及2002年7-8月份分别公布的IIS和SQLServer的若干漏洞一样没能得到广大的“Windows用户”和“SQLServer用户”的重视。与 CodeRed 和 SQLSlammer相比,由于种种边界隔离设备多多少少挡去了一些攻击,这一次的W32.Blaster.Worm没能造成太大的影响(遗憾?)。
昨天得知W32.Blaster.Worm传播的消息时,看到《CCERT关于W32.Blaster.Worm蠕虫的公告(草案)》,其中提到
-----------------------------------------
应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
-----------------------------------------
我没有样本,也没工夫去分析,不知道该蠕虫的传播机理是否进行了端口扫描,但我的团队开发的一个远程收发文系统中用到了RPC,端口是 5800。那么,我的RPC服务是否安全呢?
于是我想起早先写 RPC 应用时看到过的一篇文章,在这里与各位共享,希望对程序员有所帮助。
刊载于微软 MSDN 的:<Writing a Secure RPC Client or Server>
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp
...全文
请发表友善的回复…
发表回复
喝醉的咖啡 2003-08-13
- 打赏
- 举报
我装的所有Windows2K/SQLServer2K服务器从来没中过CodeRed和SQLSlammer,这个Blaster也与我无缘。不过要小心 MS03-31,说不定没几天就轮到它流行了。
感觉 MSDN 真是一个大宝库,怎么也看不完啊!
感觉 MSDN 真是一个大宝库,怎么也看不完啊!
喝醉的咖啡 2003-08-13
- 打赏
- 举报
这里是 CCERT 的一个公告原文(教育网紧急响应组——CodeRed流行的时候第一次见到它的身影,呵呵):
-----------------------------------------
CCERT关于W32.Blaster.Worm蠕虫的公告(草案)
影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考: CAN-2003-0352
McAfee 命名为:W32/Lovsan.worm
简单描述:
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
及时地得到这个漏洞的补丁
CCERT正在分析蠕虫的传播机理。
网络控制方法:
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
计算机处理办法:
蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,RPC 服务停止;
建议你重新启动计算机,立刻打补丁(下载地址见下文);
如果你的系统被感染了,系统可能出现如下特征:
1. 被重启动;
2. 用netstat 可以看到大量tcp 135端口的扫描;
3. 系统中出现文件: %Windir%\system32\msblast.exe
4. 系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;
手动删除办法:
1. 检查、并删除文件: %Windir%\system32\msblast.exe
2. 打开任务管理器,停止以下进程 msblast.exe .
3. 进入注册表(“开始->运行:regedit)
找到键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打补丁(否则很快被再次感染)
CCERT:(因访问量大,可能很慢)
Windows 2000补丁
Windows XP
更多补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
请关注CCERT主页和邮件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn
其他参考信息
1、http://www.securityfocus.com/news/6689
2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS03-026.asp
3、http://www.securityfocus.com/columnists/174
4、http://isc.sans.org/diary.html?date=2003-08-11
[引自]中国教育和科研计算机网紧急响应组(CCERT)
2003 年8月12日
-----------------------------------------
CCERT关于W32.Blaster.Worm蠕虫的公告(草案)
影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考: CAN-2003-0352
McAfee 命名为:W32/Lovsan.worm
简单描述:
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
及时地得到这个漏洞的补丁
CCERT正在分析蠕虫的传播机理。
网络控制方法:
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
计算机处理办法:
蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,RPC 服务停止;
建议你重新启动计算机,立刻打补丁(下载地址见下文);
如果你的系统被感染了,系统可能出现如下特征:
1. 被重启动;
2. 用netstat 可以看到大量tcp 135端口的扫描;
3. 系统中出现文件: %Windir%\system32\msblast.exe
4. 系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;
手动删除办法:
1. 检查、并删除文件: %Windir%\system32\msblast.exe
2. 打开任务管理器,停止以下进程 msblast.exe .
3. 进入注册表(“开始->运行:regedit)
找到键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打补丁(否则很快被再次感染)
CCERT:(因访问量大,可能很慢)
Windows 2000补丁
Windows XP
更多补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
请关注CCERT主页和邮件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn
其他参考信息
1、http://www.securityfocus.com/news/6689
2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS03-026.asp
3、http://www.securityfocus.com/columnists/174
4、http://isc.sans.org/diary.html?date=2003-08-11
[引自]中国教育和科研计算机网紧急响应组(CCERT)
2003 年8月12日
