什麼是rpc漏洞?
英文原義:remote procedure call protocol
中文釋義:(
rfc-1831)遠端過程呼叫協議
註解:一種通過網路從遠端電腦程式上請求服務,而不需要了解底層網路技術的協議。rpc協議假定某些傳輸協議的存在,如
tcp或
udp,為通訊程式之間攜帶資訊資料。在
osi網路通訊模型中,rpc跨越了
傳輸層和
應用層。rpc使得開發包括網路分布式多程式在內的應用程式更加容易。
remote procedure call (rpc)是windows
使用的一種遠端過程呼叫協議,rpc提供程序間互動通訊
機制,允許在某台計算機上執行的程式無縫地在遠端系統上執行**。microsoft的rpc部分在通過tcp/ip處理資訊交換時存在問題,遠端攻擊者可以利用這個漏洞以本地系統許可權在系統上執行任意指令。
此漏洞是由於不正確處理畸形訊息所致,漏洞影響使用rpc的dcom介面。此介面處理由客戶端機器傳送給伺服器的
dcom物件啟用請求(如unc路徑)。攻擊者成功利用此漏洞可以以本地系統許可權執行任意指令。攻擊者可以在系統上執行任意操作,如安裝程式、檢視或更改、刪除資料或建立系統管理員許可權的帳戶。
衝擊波(worm.blaster)病毒介紹
病毒執行時會不停地利用ip掃瞄技術尋找網路上系統為win2k或xp的計算機,找到後就利用dcom rpc緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。
2. 病毒執行時會建立乙個名為:「billy」的互斥量,使病毒自身不重複進入記憶體,並且病毒在記憶體中建立乙個名為:「msblast」的程序,使用者可以用任務管理器將該病毒程序終止。
3. 病毒執行時會將自身複製為:%systemdir%/msblast.exe,使用者可以手動刪除該病毒檔案。
注意:%windir%是乙個變數,它指的是作業系統安裝目錄,預設是:「c:/windows」或:「c:/winnt」,也可以是使用者在安裝作業系統時指定的其它目錄。%systemdir%是乙個變數,它指的是作業系統安裝目錄中的系統目錄,預設是:「c:/windows/system」或:「c:/winnt/system32」。
4. 病毒會修改登錄檔的hkey_local_machine/software/microsoft/windows/currentversion/run項,在其中加入:"windows auto update"="msblast.exe",進行自啟動,使用者可以手工清除該鍵值。
5. 病毒會用到135、4444、69等埠,使用者可以使用防火牆軟體將這些埠禁止或者使用「tcp/ip篩選」 功能,禁止這些埠。
衝擊波中毒症狀:
1、莫名其妙地宕機或重新啟動計算機;
2、ie瀏覽器不能正常地開啟鏈結;
3、不能複製貼上;
4、有時出現應用程式,比如word異常;
5、網路變慢;
6、最重要的是,在任務管理器裡有乙個叫「msblast.exe」的程序在執行!
以上這些情形,如果是最近兩天才出現的現象,都很有可能是由於受到了「衝擊波」病毒的攻擊。尤其是第六條符合,那就肯定是已經被衝擊波攻擊成功了,必須立刻採取防毒、打補丁的措施。
衝擊波(Worm Blaster)病毒詳細解決方案
病毒名稱 worm.blaster 病毒型別 蠕蟲病毒 傳播途徑 網路 rpc漏洞 依賴系統 microsoft windows nt 4.0 microsoft windows 2000 microsoft windows xp microsoft windows server 2003 病毒尺寸...
用access list 對抗「衝擊波」病毒
最近 衝擊波 病毒 worm msblast.a 開始在國內網際網路和部分專網上傳播。我以前在接入層做的access list起了作用!access list 120 deny 53 any any access list 120 deny 55 any any access list 120 de...
RPC介紹以及程式設計
1 rpc介紹 rpc remote procedure call protocol 遠端過程呼叫協議,它是一種通過網路從遠端電腦程式上請求服務,而不需要了解底層網路技術的協 議。rpc採用客戶機 伺服器模式。請求程式就是乙個客戶機,而服務提供程式就是乙個伺服器。首先,客戶機呼叫程序傳送乙個有程序引...