当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 漏洞问题 RPC服务器安全配制

安全基础
Windows经常弹出的询问框处理技巧汇总
怎样让您的电脑待机耗电等于零
系统中出现了多个smss.exe进程判断是否中毒
系统崩溃不要怕 快速还原的3个方法
玩转windows系统的回收站
手机QQ 72ub病毒泛滥很多网友被骗

安全基础 中的 漏洞问题 RPC服务器安全配制


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 31 ::
收藏到网摘: n/a

 

  RPC服务器安全配制[已发表在2003年第11期黑客防线]

  九月十日微软急紧发布了最新的RPC漏洞信息,攻击者只要向远程计算机上的 135 端口发送特殊格式的请求就可以获得对远程计算机的完全控制,这使得攻击者能够对服务器随意执行任何操作,包括更改网页,格式化硬盘或者向本地管理员组中添加新的用户。  此漏洞将会影响运行  MICROSOFT WINDOWS的用户:

  Microsoft Windows NT 4.0
  Microsoft Windows NT 4.0 Terminal Services Edition
  Microsoft Windows 2000
  Microsoft Windows XP
  Microsoft Windows Server 2003

  (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。

  RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。

  此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。

  而135端口则成了问题出现的最根本的起源

  对于服务器而言,我们现在需要做的就是尽可能快的封上你的135端口,以下是一些安全配制方法:

  A、在防火墙上封堵 135 端口。

  135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:

  135/TCP epmap
  135/UDP epmap
  139/TCP netbios-ssn
  139/UDP netbios-ssn
  445/TCP microsoft-ds
  445/UDP microsoft-ds
  593/TCP http-rpc-epmap
  593/UDP http-rpc-epmap

  如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。

  方案一:

  1、关闭病毒攻击的TCP/IP端口

  a)使用Windows自带的TCP/IP筛选功能

  打开默认的网络连接属性(方法有右击桌面网络邻居、控制面板网络属性)
 
    单击属性,选择常规页的TCP/IP,再单击属性, 单击高级,进入下一页,再选择TCP/IP筛选。然后单击属性,在TCP和UDP端口设置中选择只允许,添加相应的端口,如80用于IE浏览,其它的端口根据应用程序的设定相应修改。最后确定就OK了。

  方案二:
   
  使用金山网镖或者天网防火墙:

  网镖高级功能可以非常方便的实现封闭和开放端口的功能。

  单击右下角金山网镖,在弹出的菜单中选择配置选项,然后选择高级页选中使用IP包过滤技术,添加TCP、UDP的135、139、445端口,最新捕获得的“新流言”病毒还要关闭4444端口。

  提示:在做这一切前请先升级你的反病毒软件和防火墙。

  B、禁用所有受影响的计算机上的 DCOM

  如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。

  如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机

  手动为计算机启用(或禁用) DCOM:

   1.运行 Dcomcnfg.exe

  如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:

  单击“控制台根节点”下的“组件服务”。

  打开“计算机”子文件夹。

  对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。

  对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。

  2.选择“默认属性”选项卡。

  3.选择(或清除)“在这台计算机上启用分布式 COM”复选框。

评论 (0) All

登陆 还没注册?