版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
https://windtear.net/archives/2004/01/14/000515.html
发信人: windtear (笑傲江湖天下第一 笑到最后是赢家), 信区: Untitled
标 题: 病毒补丁 防火墙 @ http://untitled.ipcn.org/temp/
发信站: BBS 水木清华站 (Tue Aug 12 23:02:14 2003), 站内
那个病毒补丁
CHSQ823980i.EXE 12-Aug-2003 15:56 1.3M
FixBlast.exe 12-Aug-2003 17:23 165k
Windows2000-KB823980-x86-CHS.exe 12-Aug-2003 15:56 897k
WindowsServer2003-KB823980-x86-CHS.exe 12-Aug-2003 15:56 1.4M
WindowsXP-KB823980-x86-CHS.exe 12-Aug-2003 15:57 1.2M
ms03-026.asp 12-Aug-2003 15:56 17k
pf2.exe 31-Oct-2001 05:10 1.4M
微软官方地址.txt 12-Aug-2003 17:23 7k
--------------------------------------------------------------------------------
发信人: windtear (笑傲江湖天下第一 笑到最后是赢家), 信区: Untitled
标 题: Re: 上帝推荐一个防火墙吧
发信站: BBS 水木清华站 (Tue Aug 12 23:09:59 2003), 转信
告诉你个好的
Tiny Personal Firewall
呵呵
小而精悍
2.0.15A 免费
http://untitled.ipcn.org/temp/pf2.exe
http://untitled.ipchina.org/temp/pf2.exe
<总是忘了国外> 第一个国内 第二个国内国外动态解析IP
ftp://ipcn.org:1021/pub/ 下面有
发信人: windtear (笑傲江湖天下第一 笑到最后是赢家), 信区: Untitled
标 题: Re: 上帝推荐一个防火墙吧
发信站: BBS 水木清华站 (Tue Aug 12 23:11:50 2003), 转信
做 WinRoute 的那个公司做的
超级强
还小
官方地址:
http://www.tinysoftware.com/
http://www.tinysoftware.com/tiny/files/apps/pf2.exe
发信人: windtear (笑傲江湖天下第一 笑到最后是赢家), 信区: Untitled
标 题: Re: 上帝推荐一个防火墙吧
发信站: BBS 水木清华站 (Tue Aug 12 23:39:18 2003), 转信
就开始设
一次设置 永远受用
绝对是我见过 windows 下性价比最高最高的
而且免费:) 没有版权问题
【 在 wuppa (三年...你在我的心裏永遠是故鄉) 的大作中提到: 】
: 不过总共也没几个,好像还是和往常一样风平浪静。
发信人: windtear (笑傲江湖天下第一 笑到最后是赢家), 信区: Untitled
标 题: Re: 不小心deny了怎么恢复啊?
发信站: BBS 水木清华站 (Tue Aug 12 23:39:46 2003), 转信
双击右下角图标
主窗口删除
【 在 gUT (玻璃娃娃~嘎比守护神) 的大作中提到: 】
: 刚才收mail的时候不小心deny了,现在重新运行了几次foxmail,都收不了信
发信人: gUT (玻璃娃娃~嘎比守护神), 信区: Untitled
标 题: Re: C.K,怎么选择永远deny
发信站: BBS 水木清华站 (Tue Aug 12 23:33:06 2003), 转信
下面有个create...rule之类的,进去customize rule就行了
【 在 rp (开始戒网了,开禁时间未知...) 的大作中提到: 】
: 没看到啊
【 在 gUT (玻璃娃娃~嘎比守护神) 的大作中提到: 】
: 我装的是norton2003,是不是还有单独的防火墙啊?
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=28
绿盟科技紧急公告(Alert2003-zh-02)
Nsfocus安全小组(security@nsfocus.com)
http://www.nsfocus.com
MSBLAST蠕虫紧急公告!
发布日期:2003-08-12
CVE CAN ID:CAN-2003-0352
BUGTRAQ ID:8205
受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述:
======
绿盟科技安全小组的HoneyPot监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口
远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。
更新记录:
2003-08-12 11:00 文档创建
分析:
======
北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技
安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS03-026 Microsoft
Windows DCOM
RPC接口远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&
bug_id=5147)的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windo
ws XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月1
1日7点21分。
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就
会退出,如果没有,就创建一个。
然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un中添加以下键值:
"windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫
的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机
在互连网上选择目标攻击。
一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系
统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令
,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的
Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows
2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsu
pdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻
击。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your softw
are!!
解决方法:
==========
* 检测是否被蠕虫感染:
1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示
符中按照下面键入:
C:\>dir %systemroot%\system32\msblast.exe
如果被感染,那么您可以看到类似的显示结果:
C:\>dir %systemroot%\system32\msblast.exe
驱动器 C 中的卷是 sys
卷的序列号是 A401-04A9
C:\WINNT\system32 的目录
2003-08-12 03:03 6,176 msblast.exe
1 个文件 6,176 字节
0 个目录 2,701,848,576 可用字节
2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n。请在命令提示符中按照下面键入:
C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\Run
C:\>type tmp.txt
如果被感染,那么您可以看到类似的显示结果:
C:\>type tmp.txt
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"
3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上
运行。
* 预防蠕虫感染:
安装MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.as
p)的安全更新。下载地址:
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-
DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-
C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-
220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-
3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-
C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-
3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-
017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网
络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述“预防蠕虫感染”的方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定
”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,
选择“结束进程”,点击“是”。
3、删除系统目录下的msblast.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定
”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。
5、重新启动系统。
截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除该蠕虫
,请更新您杀毒软件的病毒特征库进行查杀。
绿盟科技产品的冰之眼IDS(http://www.nsfocus.com/homepage/products/nids.htm)早在
该漏洞发布时(2003年7月)就已经可以检测此种攻击;RSAS(http://www.nsfocus.com/ho
mepage/products/rsas.htm)也早就可以检测到网络内受该漏洞影响的主机;对于大量的TC
P数据流导致的
拒绝服务,黑洞(http://www.nsfocus.com/homepage/products/collapsar.htm)是目前最
佳解决方案之一。
附加信息:
==========
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
声 明
==========
本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全
公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者
间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告
作者不为此承担.卧鹑巍V辛堂诵畔⒓际?(北京)有限公司拥有对此安全公告的修改和解释
权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容
。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不
得以任何方式将其用于商业目怠关 于 我 们
===========
中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高
科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作
系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安
全制度,提高国
内的网络安全水平,为客户提供强有力的安全保障。
中联绿盟信息技术(北京)有限公司成立后,其安全技术研究部门对国内外最新的网络系统
安全漏洞进行最及时和最紧密的跟踪,对重大安全问题更成立专项研究小组进行技术攻关,
取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网
络安全评估系统.?/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产
品的技术实力和经验,已经推出了具有国际领先水平的安全产品系列。
中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商,提供全面的网络安全整体
解决方案、先进的网络安全技术服务和优秀的网络安全产品。
中联绿盟信息技术(北京)有限公司联系方式:
北京总部:
地址:北京市海淀区北洼路4号益泰大厦5层
邮编:100089
电话:010-68438880
传真:010-68437328
email:webadmin@nsfocus.com
上海分公司:
地址:上海市南京西路758号博爱大厦24层A座
邮编:200041
电话:021-62179591/92
传真:021-62176862
广州分公司:
地址:广州市人民中路555号美国银行中心1702
邮编:510180
电话:020-81301251,81301252
传真:020-81303835
(c)版权所有 1999-2003,中联绿盟信息技术(北京)有限公司
http://netsupport.tsinghua.edu.cn/rpc.htm
CCERT 关于window RPC系列漏洞的安全公告
7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞,这个漏洞号
称迄今为止window系统中发现的最严重的一个系统漏洞(漏洞的详情参见http://www.ccert
.edu.cn/advisories/all.php?ROWID=48)随后各安全组织对该漏洞展开了相关的研究,在
研究的过程中国内.踩橹址⑾至擞胫喙氐牧礁鐾嘈偷穆┒矗⑸媳宋⑷恚悄
壳俺袒姑挥刑峁┫喙氐牟苟〕绦颉R虼说侥壳拔拐攵詗indow rpc系列实际上存在三个
类似的漏洞,它们分别是:
1、Microsoft RPC接口远程任意代码可执行漏洞
漏洞描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提
供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行代码
。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
将可以在系统上运
行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员
权限的帐户等。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.
2、Microsoft DCOM RPC接口拒绝服务及权限提升漏洞
漏洞描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提
供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行代码
。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现MS RPC在处理畸形消息时存在问题,远程攻击者可以利用这个漏洞进行拒绝服务攻
击,在RPC服务崩溃后,可用来权限提升攻击。攻击者发送畸形消息给DCOM __RemoteGetCla
ssObject接口,RCP服务就会崩溃,所有依靠RPC服务的应用程序和服务就会变的不正常。
如果攻击者拥有合法帐户,在RPC服务崩溃后他还可以劫持管道和135端口进行权限提升攻击
。
3、window RPC接口未知漏洞
漏洞描述:
由于该漏洞影响面太大而厂商又未推出相应的补丁程序,因此目前并未公布该漏洞的详细技
术细节,但是发现该漏洞的组织中联绿盟信息技术(北京)有限公司在报告中有提到如下警告
:该漏洞可以使入侵者轻而易举的进入Windows 2000、Windows XP、Windows2003 Server系
统。
攻击者可以通过该漏洞取得系统的控制权,完全控制被入侵的系统,窃取文件,破坏资料。
因为该漏洞和以往发现的安全漏洞不同,不仅影响作为服务器的Windows系统,同样也会影
响个人电脑,所以潜在的受害者数量非常多。
漏洞危害:
7月23号网络上发布了DCOM RPC接口拒绝服务攻击的程序代码,7月26日window
RPC接口远程缓冲溢出的攻击程序代码被公布,这样就导致即便是一个对该漏洞技术细节毫
不了解的人也能使用这些代码去攻击网络上的其他机器以达到拒绝服务攻击的目的或是获得
相应的系统权限。目前公布的代码是对系统版本有针对性的,但是通用于各系统版本中的攻
击代码正在测试
中,相信在稍后的几天内便会被公布出来,一旦这种攻击代码被公布出来,只需要很小的技
术上的改造就可以改编成蠕虫,如果利用这个漏洞蠕虫被发布出来,它的威力将远远超过co
dered和slammer,可能会给整个互联网络带来致命的打击。
解决办法:
针对以上漏洞,CCERT建议用户对您的机器采取以下措施:
1、下载安装相应的补丁程序:
针对第一个漏洞微软已经发布了相应的安全公告与补丁程序,你可以到我们的网站下载:
winnt
win2000
winxp
win2003
针对其他两个漏洞,微软目前还没有发布相应的补丁程序,我们建议您使用window自动upda
te 功能,随时关注厂商的动态,你也可以关注我们的主页http://www.ccert.edu.cn我们会
在第一时间提供相应的补丁程序下载
2、使用防火墙关闭所有不必要的端口,根据我们现在掌握的信息,这些漏洞不仅仅影响13
5端口,它影响到大部分调用DCOM函数的服务端口,因此CCERT建议用户使用网络或是个人防
火墙过滤以下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap
3、使用IDS系统检测来自于网络上的攻击,IDS规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,establis
hed;
content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56
;
within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; withi
n:12;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;
byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00
00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352;classtype:
attempted-admin; sid:2193; rev:1;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 135
(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte
_test:
1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;
sid:2192; rev:1;)
注意:
1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中,你需要下载单独的热修补补丁
。
2、由于rpc服务已经被镶嵌到window的内核当中,因此我们不建议您使用关闭rpc服务的方
法来防止该漏洞被利用,因为关闭rpc服务可能会导致您的系统出现许多未知的错误
3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭,
很可能表示你已经受到了这类攻击,请尽快采取相应的措施。
--
http://ipcn.org/ ipchina.org proxy/ftp/domain/search/whois/BBS/XO/speed/mail/vpn
※ 修改:·windtear 于 Aug 12 23:59:22 修改本文·[FROM: 166.111.154.88]
※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.154.88]
|
|
