当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 漏洞问题 RPC服务器安全配制

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 漏洞问题 RPC服务器安全配制


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 41 ::
收藏到网摘: n/a

 

  RPC服务器安全配制[已发表在2003年第11期黑客防线]

  九月十日微软急紧发布了最新的RPC漏洞信息,攻击者只要向远程计算机上的 135 端口发送特殊格式的请求就可以获得对远程计算机的完全控制,这使得攻击者能够对服务器随意执行任何操作,包括更改网页,格式化硬盘或者向本地管理员组中添加新的用户。  此漏洞将会影响运行  MICROSOFT WINDOWS的用户:

  Microsoft Windows NT 4.0
  Microsoft Windows NT 4.0 Terminal Services Edition
  Microsoft Windows 2000
  Microsoft Windows XP
  Microsoft Windows Server 2003

  (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。

  RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。

  此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。

  而135端口则成了问题出现的最根本的起源

  对于服务器而言,我们现在需要做的就是尽可能快的封上你的135端口,以下是一些安全配制方法:

  A、在防火墙上封堵 135 端口。

  135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:

  135/TCP epmap
  135/UDP epmap
  139/TCP netbios-ssn
  139/UDP netbios-ssn
  445/TCP microsoft-ds
  445/UDP microsoft-ds
  593/TCP http-rpc-epmap
  593/UDP http-rpc-epmap

  如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。

  方案一:

  1、关闭病毒攻击的TCP/IP端口

  a)使用Windows自带的TCP/IP筛选功能

  打开默认的网络连接属性(方法有右击桌面网络邻居、控制面板网络属性)
 
    单击属性,选择常规页的TCP/IP,再单击属性, 单击高级,进入下一页,再选择TCP/IP筛选。然后单击属性,在TCP和UDP端口设置中选择只允许,添加相应的端口,如80用于IE浏览,其它的端口根据应用程序的设定相应修改。最后确定就OK了。

  方案二:
   
  使用金山网镖或者天网防火墙:

  网镖高级功能可以非常方便的实现封闭和开放端口的功能。

  单击右下角金山网镖,在弹出的菜单中选择配置选项,然后选择高级页选中使用IP包过滤技术,添加TCP、UDP的135、139、445端口,最新捕获得的“新流言”病毒还要关闭4444端口。

  提示:在做这一切前请先升级你的反病毒软件和防火墙。

  B、禁用所有受影响的计算机上的 DCOM

  如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。

  如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机

  手动为计算机启用(或禁用) DCOM:

   1.运行 Dcomcnfg.exe

  如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:

  单击“控制台根节点”下的“组件服务”。

  打开“计算机”子文件夹。

  对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。

  对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。

  2.选择“默认属性”选项卡。

  3.选择(或清除)“在这台计算机上启用分布式 COM”复选框。

评论 (0) All

登陆 还没注册?