ABCDV网站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 2656|回复: 49

高手进来,关于系统的问题,急

[复制链接]
发表于 2003-8-10 23:08:35 | 显示全部楼层 |阅读模式
刚接了网线,系统就有问题了。Remote Procedure Call (RPC)每天要意外终止服务5,6次,然后就自动重启。谁知道怎么回事情?

与此关联的程序是C:\WINDOWS\system32\svchost -k rpcss

最近老是被这个问题干扰,谁有好办法
发表于 2003-8-10 23:58:57 | 显示全部楼层
webleon,你的机会来了。
 楼主| 发表于 2003-8-11 00:37:43 | 显示全部楼层
CCERT 关于window RPC系列漏洞的安全公告   
  

7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞,这个漏洞号称
迄今为止window系统中发现的最严重的一个系统漏洞
(漏洞的详情参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
随后各安全组织对该漏洞展开了相关的研究,在研究的过程中国内的安全组织又发现了与之相
关的两个同类型的漏洞,并上报了微软,但是目前厂商还没有提供相关的补丁程序。因此到目
前为止针对window rpc系列实际上存在三个类似的漏洞,它们分别是:

1、Microsoft RPC接口远程任意代码可执行漏洞
   
   漏洞描述:
   Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供
   一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行代码。
   该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。

   最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
   安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
   的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
   将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员
   权限的帐户等。

   要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.

2、Microsoft DCOM RPC接口拒绝服务及权限提升漏洞
   漏洞描述:
   Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供
   一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行代码。
   该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。

   最近发现MS RPC在处理畸形消息时存在问题,远程攻击者可以利用这个漏洞进行拒绝服务攻
   击,在RPC服务崩溃后,可用来权限提升攻击。攻击者发送畸形消息给
   DCOM __RemoteGetClassObject接口,RCP服务就会崩溃,所有依靠RPC服务的应用程序和服务
   就会变的不正常。

   如果攻击者拥有合法帐户,在RPC服务崩溃后他还可以劫持管道和135端口进行权限提升攻击。

3、window RPC接口未知漏洞
   漏洞描述:
   由于该漏洞影响面太大而厂商又未推出相应的补丁程序,因此目前并未公布该漏洞的详细技术
   细节,但是发现该漏洞的组织中联绿盟信息技术(北京)有限公司在报告中有提到如下警告:
   该漏洞可以使入侵者轻而易举的进入Windows 2000、Windows XP、Windows2003 Server系统。
   攻击者可以通过该漏洞取得系统的控制权,完全控制被入侵的系统,窃取文件,破坏资料。
   因为该漏洞和以往发现的安全漏洞不同,不仅影响作为服务器的Windows系统,同样也会影响个
   人电脑,所以潜在的受害者数量非常多。


漏洞危害:
   7月23号网络上发布了DCOM RPC接口拒绝服务攻击的程序代码,7月26日window RPC接口远程缓
   冲溢出的攻击程序代码被公布,这样就导致即便是一个对该漏洞技术细节毫不了解的人也能使
   用这些代码去攻击网络上的其他机器以达到拒绝服务攻击的目的或是获得相应的系统权限。目
   前公布的代码是对系统版本有针对性的,但是通用于各系统版本中的攻击代码正在测试中,相
   信在稍后的几天内便会被公布出来,一旦这种攻击代码被公布出来,只需要很小的技术上的改
   造就可以改编成蠕虫,如果利用这个漏洞蠕虫被发布出来,它的威力将远远超过codered和
   slammer,可能会给整个互联网络带来致命的打击。


解决办法:
   针对以上漏洞,CCERT建议用户对您的机器采取以下措施:
1、下载安装相应的补丁程序:
   针对第一个漏洞微软已经发布了相应的安全公告与补丁程序,你可以到我们的网站下载:
   winnt
   win2000
   winxp
   win2003
   
   针对其他两个漏洞,微软目前还没有发布相应的补丁程序,我们建议您使用window自动update
   功能,随时关注厂商的动态,你也可以关注我们的主页http://www.ccert.edu.cn
   我们会在第一时间提供相应的补丁程序下载

2、使用防火墙关闭所有不必要的端口,根据我们现在掌握的信息,这些漏洞不仅仅影响135端口,
    它影响到大部分调用DCOM函数的服务端口,因此CCERT建议用户使用网络或是个人防火墙过滤以
    下端口:
    135/TCP     epmap            
    135/UDP     epmap            
    139/TCP     netbios-ssn      
    139/UDP     netbios-ssn      
    445/TCP     microsoft-ds     
    445/UDP     microsoft-ds     
    593/TCP     http-rpc-epmap   
    593/UDP     http-rpc-epmap   

3、使用IDS系统检测来自于网络上的攻击,IDS规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56;
within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; within:12;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;
byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352;classtype:
attempted-admin; sid:2193; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 135
(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte_test:
1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;
sid:2192; rev:1;)


注意:
   1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中,你需要下载单独的热修补补丁。
   2、由于rpc服务已经被镶嵌到window的内核当中,因此我们不建议您使用关闭rpc服务的方
      法来防止该漏洞被利用,因为关闭rpc服务可能会导致您的系统出现许多未知的错误
   3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭,很
      可能表示你已经受到了这类攻击,请尽快采取相应的措施。
发表于 2003-8-11 01:44:47 | 显示全部楼层
最初由 hawayiyi 发表
[B]webleon,你的机会来了。 [/B]


为什么?
发表于 2003-8-11 01:45:37 | 显示全部楼层
关闭这个服务好了,没用的
 楼主| 发表于 2003-8-11 02:49:57 | 显示全部楼层
最初由 webleon 发表
[B]关闭这个服务好了,没用的 [/B]

把500以下的端口都关了,

苦死我了,一个德国的IP老是想连我135端口
发表于 2003-8-11 03:57:02 | 显示全部楼层
发表于 2003-8-11 04:07:22 | 显示全部楼层
你可以过去帮MM处理处理嘛,吃完笋干也好走走路,消化消化!
发表于 2003-8-11 05:08:32 | 显示全部楼层
最初由 hawayiyi 发表
[B]你可以过去帮MM处理处理嘛,吃完笋干也好走走路,消化消化! [/B]

他已经是有家事的人了。。。呵呵,思念现在是在多蒙?
发表于 2003-8-11 07:32:21 | 显示全部楼层
思念的电脑出问题了~~?
不过最近发贴量直线上升啊~~~
有没有用防火墙啊~~
天网不错~~~人家连接你的端口
可能是他自己有病毒~~~
你开了防火墙就可以了~~~
还有~~用google搜索一下~~user.dmp这个也是漏洞~~
ps:我不是高手~~不小心掉进来了~~
;)
发表于 2003-8-11 20:06:00 | 显示全部楼层
用xp自己带的防火墙堵住就够了
 楼主| 发表于 2003-8-12 02:05:56 | 显示全部楼层
诶,你们真是,这楼也能灌这么水

发贴量上升是因为每天在家,都是天气热闹的, 哪里也不想去。

每天被一个同样的IP试图连接,会疯掉的,放过我吧~~~~~~~~~~~
发表于 2003-8-12 15:45:14 | 显示全部楼层
发表于 2003-8-12 17:51:42 | 显示全部楼层
补丁是下不完的,相信ms的补丁,就等于永远陷入了补丁死循环,如果真的是rpc的关系,关掉这个服务好了,如果还是有同样的IP连接你,在XP防火墙里,把它的IP禁止掉就好了
发表于 2003-8-12 19:45:20 | 显示全部楼层
http://download.microsoft.com/do ... B823980-x86-CHS.exe

这个表现为复制粘贴被禁,经尝试注销会引起死机,然后出现图中的提示自动重起,上面的是补丁

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
发表于 2003-8-12 20:31:05 | 显示全部楼层
这个东东,最近好流行啊.........................
 楼主| 发表于 2003-8-12 22:40:40 | 显示全部楼层
性能和维护===管理工具====服务里,Remote Procedure Call (RPC)的恢复项里,把第一次失败,第二次失败和后续失败都改为重新启动服务,不要选择重新启动计算机。
发表于 2003-8-13 00:10:39 | 显示全部楼层
DGDJ们。。好。。我也是有同样的问题。。根本不能连接网线。一连马上就要关机。。从另一台机器上把大侠发的那个程序给装上了。到现在还好。。不知道以后怎么样?不过,大家说的,用防火墙怎么弄啊?我用瑞星,另外还有一个正版试用的诺盾。还有,思念最后的“步骤”怎么开始的。?有些东西太专业了。对于我这个菜鸟稍微有些深。。。不过还请大家多给指点指点。。我都怕了。
发表于 2003-8-13 00:33:05 | 显示全部楼层
发表于 2003-8-13 00:34:22 | 显示全部楼层
大家小心一点吧,我的两台电脑今天都出现了这两种问题,台式机的问题是和思念的距离一样,而笔记本则出现了独行侠所说的问题,好郁闷啊,装了补丁好像也不行。
发表于 2003-8-13 01:03:00 | 显示全部楼层
感谢独行侠的补丁!!!我都要疯了,刚上线就告诉我一分钟之后要关机,象定时炸弹一样,我赶紧手忙脚乱的下补丁。
 楼主| 发表于 2003-8-13 01:58:17 | 显示全部楼层
不要上线,把网线拔了,然后把系统设置好,把那个1分钟重新启动的改掉,如果你不在网,就不会有问题。

我受到的135端口的攻击,都是来自不伦瑞克工业大学的
 楼主| 发表于 2003-8-13 02:00:52 | 显示全部楼层
还有,如果发现有类似的问题,不要用QQ或者MSN,不然会把问题带给对方的机器的
发表于 2003-8-13 02:16:51 | 显示全部楼层
我怎么就没事类?
发表于 2003-8-13 02:17:09 | 显示全部楼层

转贴的

问题:winxp不断报“rpc意外中止,系统重新启动”,win2000报svchost.exe出错



该问题是目前出现的win32.blaster.worm病毒针对微软的rpc漏洞进行攻击,在8月11日全球首次发现,symantec已更新病毒库可以查杀该病毒。


故障原因:w32.blaster.worm病毒专门攻击win xp、win 2000、win
nt和win 2003的rpc安全漏洞。

故障现象:操作系统不断报“prc意外中止,系统重新启动”,客户机频繁重启,所有网络服务均出现故障,如ie浏览器打不开,outlook无法使用等。



解决方法:



1、先在任务管理器中将 msblast.exe
进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe
删除(有可能无法删除,则直接执行第2步)。



2、在“控制面板”中的“管理工具”下的“服务”,选中remote
procedure call(rpc)服务,把“恢复”选项卡中的第n次失败都选为“不操作”(xp下默认为重启计算机)。



3、下载本页下面的rpc漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win2000
servicepack2以上版本,请到下面网址下载:



http://www.microsoft.com/china/windows2000/sp2.htm



微软的操作系统rpc漏洞补丁:


Windows XP 中文专业版/家庭版补丁:http://download.microsoft.com/do ... B823980-x86-CHS.exe

Windows XP 64bit 版本补丁(64bit 专用英文补丁):http://download.microsoft.com/do ... 823980-ia64-ENU.exe


Windows 2000 全系列中文版补丁:http://download.microsoft.com/do ... B823980-x86-CHS.exe

Windows 2003 全系列中文版补丁:http://download.microsoft.com/do ... B823980-x86-CHS.exe

Windows 2003 64bit 版本补丁(64bit 专用英文补丁):http://download.microsoft.com/do ... 823980-ia64-ENU.exe


Windows NT 4.0 中文版补丁:http://download.microsoft.com/do ... ec6/CHSQ823980i.EXE

Windows NT 终端服务器版补丁(英文补丁):http://download.microsoft.com/do ... 88d489/Q823980i.EXE



4、安装norton杀毒软件,升级norton最新的8月11日病毒库进行杀毒。



注意:可能个别盗版win xp系统不能正常打上补丁,win2000操作系统必须升级sp2以上版本才可安装补丁



微软网站关于该问题的说明


http://www.microsoft.com/china/t ... lletin/ms03-026.asp



中国病毒响应中心关于rpc的说明





详细描述:

remote procedure call(rpc)是windows操作系统使用的一种远程过程调用协议,rpc协议提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行代码。该协议的前身是osf rpc协议,但是增加了微软自己的一些扩展。最近发现部分rpc在使用tcp/ip协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用rpc的dcom接口,这个接口用来处理由客户端机器发送给服务器的dcom对象激活请求(如unc路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等。要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.




影响系统:


microsoft windows nt 4.0 microsoft windows nt 4.0 terminal services edition microsoft windows 2000 microsoft windows xp microsoft windows server? 2003  




风险:高


危害描述:


远程进入系统执行任意代码


symantec公司关于病毒的说明


w32.blaster.worm病毒
http://securityresponse.symantec ... 2.blaster.worm.html

-----------------------------------------------------------------------
小插曲:
约翰尼斯表示,MSBlaster蠕虫病毒还会使被感染的计算机在8月16日对微软公司的一个网站发动分布式拒绝服务攻击(DDOS)。受到DDOS攻击的网站会因收到的服务请求太多而不能处理正常的请求。TruSecure公司的库珀尔说,从这一角度看,它是非常危险的,它可能消耗大量的带宽

   据SANS学院称,这一蠕虫病毒的代码中包括下面的内容:“Billy Gates why do you make this possible? Stop making money and fix your software”(比尔·盖茨,你为什么要使这种攻击成为可能?不要再挣更多的钱了,好好修正你发行的软件吧。)。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|ABCDV网站,版权所有:北京佳景时代文化有限公司 ( 京ICP备19037940号-1 |||| 京公网安备11010802012322 |||| 工信查询网址: https://www.beian.miit.gov.cn )

GMT+8, 2024-11-27 23:58 , Processed in 0.098694 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表