| |
|
|
|
|
|
|
| |
最近利用RPC漏洞越来越厉害,比如“冲击波”蠕虫以及其变种,受到攻击的WindowsNT/2000/XP/2003用户,普遍出现蓝屏、重启、剪贴板出错、自动关机等现象,目前解决办法有1:安装微软官方补丁;2:使用网络防火墙或者TCP/IP筛选,屏闭TCP135、4444以及UDP69等端口;3:关闭RPC服务。推荐同时使用解决办法1和2,第3种方法最彻底但不可取。
今天因为测试关闭RPC服务下Blaster.Worm感染的情况,但该文主要是说Windows 2000 服务器下关闭RPC服务出现的问题以及恢复:关闭RPC--管理工具--服务--Remote Procedure Call,其默认启动类别是自动,大家可以通过属性来修改启动类型的。另外从依存关系可以发现很多依赖Remote Procedure Call的其它服务。
关闭RPC服务后,重新启动后发现系统日志报错,查看该事件的属性无法打开,关闭事件查看器,同时提示说关闭所有属性页,但看不到该页面...干完该干的事情后,开始恢复RPC服务吧,晕,竟然同样无法从属性里边恢复了(打不开属性页面),尝试其它一些恢复办法,如安全模式、CMD下,还是不行,注册表又没备份,真麻烦呀,只好打开注册表,之间用了N分钟,终于找到了“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”,将里边的“Start”的值由0x00000004编辑为0x00000002后,重新启动电脑,OK,一切恢复正常了。
测试结果是关闭RPC服务后系统没有发现受到蠕虫感染的现象,哈哈,其实是大家都知道的。
参考:RPC 接口中的缓冲区溢出可能允许执行代码 (823980) http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
参考:symantec公司W32.Blaster.Worm病毒资料http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
|
|
|
|
|
|
|
|
