PALMisLIFE 討論區

標題: [求助] WINXP下的Remote Procedure Call(PRC)服務被中止... [列印本頁]

作者: guruguru 時間: 2003-8-12 07:44
標題: [求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
今天開機時一直出現這個訊息，一直重開機，
剛剛重灌之後一樣有此問題，只好把那個服務先調成執行失敗時不做任何動作。
而且只要拔掉網路線就不會出現那個訊息。

請問有人知道這是哪邊出了問題? 網路卡? 還是SeedNet or 中花電遜?

作者: Louisc 時間: 2003-8-12 07:55
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
http://www.google.com.tw/search?q=cache:Wzv-Cww7yccJ:www.microsoft.com/taiwan/security/bulletins/MS03-026.asp+remote+procedure+call&hl=zh-TW&lr=lang_zh-TW&ie=UTF-8
下載修正檔之後應該就可以了......
不過微軟的網頁資料庫有問題，這個修正檔的連結壞了，其他都好好的就這個的突然消失。
只有在Google大神的網頁備份中看的見，希望對您有幫助

作者: guruguru 時間: 2003-8-12 08:15
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
太感謝了!!
已經沒有問題了。
怪怪的WINXP，昨天用的好好的今天就給我出問題。 -_-

作者: Louisc 時間: 2003-8-12 08:22
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2003-076
換一個比較清楚一點的連結，如果有逛各大BBS版的人就會知道，今天同時有超多人被攻擊！
每一個版都有出現受害者跟解決方式。

作者: guruguru 時間: 2003-8-12 08:52
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
好久沒到BBS的討論區了，剛剛去看了看，果然很多人有此問題。

安裝時最好把網路線拔掉，之後重開機再安裝那個檔案。
否則有可能會裝不起來。

作者: hiko 時間: 2003-8-12 08:53
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
恩  我也是  莫名其妙一直重開機 :~  原來是被攻擊ㄌ我還以為是我的硬體出問題
不過  後來我是到控制台系統管理工具的服務裡面
進去 PRC 的那個項目  在修復的那一頁裡
把所有失敗處理行為都改成重新啟動服務
恩結果就沒再給我重開機ㄌ :>

作者: guruguru 時間: 2003-8-12 08:55
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

hiko wrote:
恩  我也是  莫名其妙一直重開機 :~  原來是被攻擊ㄌ我還以為是我的硬體出問題
不過  後來我是到控制台系統管理工具的服務裡面
進去 PRC 的那個項目  在修復的那一頁裡
把所有失敗處理行為都改成重新啟動服務
恩  結果就沒再給我重開機ㄌ  :>

但是還是會出問題，像是無法copy，無法開啟服務選項等等問題產生...
真狠的漏洞

作者: 阿輝 時間: 2003-8-12 11:01
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
ㄟ...@@?

沒發生//

在 NAT 後面不會受影響?

作者: feiyang 時間: 2003-8-12 11:02
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
可能中毒了....
W32.Blaster.Worm....
目前各大防毒軟體公司都發出警告了
我剛剛幫一個朋友解決這個問題....
請執行工作管理員
把msblast.exe這個process停掉
然後執行regedit
在HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run中
把Windows auto update這個key砍掉....
接著再把修正檔裝完....
應該就可以解決了...
good luck!!

作者: Larry 時間: 2003-8-12 11:04
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
真巧，我也是昨天出問題，和guruguru描述的一模一樣。
而我的PC就在NAT後面........＠＠

作者: 阿輝 時間: 2003-8-12 11:06
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
有單獨的更新檔 link 嗎?

說 Windows updata 無法使用..@@|||

作者: Louisc 時間: 2003-8-12 11:45
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
下面這一個就有更新的連結了^^Y

Louisc wrote:
http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2003-076
換一個比較清楚一點的連結，如果有逛各大BBS版的人就會知道，今天同時有超多人被攻擊！
每一個版都有出現受害者跟解決方式。

作者: Jonry 時間: 2003-8-12 12:01
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
我在公司裡為了這件事已經忙了一個早上, 目前的狀況是 :
還找不到 msblast.exe 這支程式, registry 裡也沒有
但是 Office 系列的程式會無法執行
剪下/貼上的功能也會有問題
懷疑是某種攻擊
但是, 就是找不到兇手 !!

也許, 下了 KB823980 這支 Hotfix 會好一點
Patch在此: ( Windows 2000,中文 )
http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
(Windows 2000,英文):
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
(Windows XP, 中文)
http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe
(Windows XP, 英文)
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

作者: star69 時間: 2003-8-12 12:18
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
中標的都是XP吧? 有 2K嗎?

解毒步驟&資訊收錄
http://uos.idv.tw/viewthread.php?tid=10731

作者: parrot 時間: 2003-8-12 12:21
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

feiyang wrote:
可能中毒了....
W32.Blaster.Worm....
目前各大防毒軟體公司都發出警告了
我剛剛幫一個朋友解決這個問題....
請執行工作管理員
把msblast.exe這個process停掉
然後執行regedit
在HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run中
把Windows auto update這個key砍掉....
接著再把修正檔裝完....
應該就可以解決了...
good luck!!

親愛的賽門鐵克用戶：
針對今日上午所發佈之三級病毒 W32.Blaster.Worm ，
已有修復工具可供移除病毒之用。
請各位點選以下連結下載，謝謝。
http://www.netranger.com.tw/fixtool/FixBlast.exe

作者: 小酒蟲 時間: 2003-8-12 12:26
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

Louisc wrote:
http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2003-076
換一個比較清楚一點的連結，如果有逛各大BBS版的人就會知道，今天同時有超多人被攻擊！

引用部份該連結的內容：

========================================
為了攻擊這項弱點，攻擊者需要具備發送特殊製作的要求的能力給遠端已開啟 135、139 或 445 埠號、或任何其他設定了 RPC 通訊埠的遠端電腦。在內部網路環境中，這些通訊埠可正常存取，但是對連接上 Internet 的機器而言，最好可以透過防火牆來封鎖。在這些通訊埠沒有被封鎖，或是內部網路的情形下，攻擊者就不需要任何額外的使用權限。
========================================

看來應該是大部份沒有架 firewall 的 clients 會先中鏢。

作者: star69 時間: 2003-8-12 12:33
標題: 回覆：回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

小酒蟲 wrote:
引用部份該連結的內容：

========================================
為了攻擊這項弱點，攻擊者需要具備發送特殊製作的要求的能力給遠端已開啟 135、139 或 445 埠號、或任何其他設定了 RPC 通訊埠的遠端電腦。在內部網路環境中，這些通訊埠可正常存取，但是對連接上 Internet 的機器而言，最好可以透過防火牆來封鎖。在這些通訊埠沒有被封鎖，或是內部網路的情形下，攻擊者就不需要任何額外的使用權限。
========================================

看來應該是大部份沒有架 firewall 的 clients 會先中鏢。

就算有裝防火牆但是不會用的人還是有可能中標
就有人裝防火牆是裝飾用的什麼警告訊息都按 YES 那就完了

作者: star69 時間: 2003-8-12 12:44
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
由 http://www.ettoday.com/2003/08/12/91-1496789.htm 轉
-
疾風病毒　專挑微軟漏洞 2003/08/12 11:47


　記者歐陽宜珊／台北報導

防毒公司趨勢科技與賽門鐵克在12日早上不約而同地發佈中度病毒警告，有一隻名為疾風病毒(WORM_MSBLAST.A)正利用微軟漏洞對NT、2000、NET Server進行攻擊。這隻病毒已在歐美傳出災情，預估台灣也會受到不小的影響，趨勢科技呼籲MIS人員立即到微軟的網站下載修補程式。


  大家對此病毒的蔓延方式應該不陌生，今年初在台引起一陣恐慌的Slammer，也是專門針對微軟伺服器漏洞進行攻擊。不同的是，Slammer只針對SQL Server，而疾風病毒(WORM_MSBLAST.A)卻是針對Windows NT、2000、NET Server進行漏洞攻擊。

趨勢科技說，疾風病毒(WORM_MSBLAST.A)不會透過email或是網路芳鄰傳染，而是經由135 Port直接攻擊。攻擊的方式是不停地對其伺服器丟出封包，嚴重時會產生系統不穩、管理者權限被更改。而且它還會重覆攻擊其它電腦，並且不斷連結到Windows update的伺服器，試圖癱瘓此更新伺服器。由於微軟在7月16日才公佈這個漏洞的修補程式，如果公司MIS人員還未更新這個漏洞修補程式，就很容易被攻擊。若用戶已安裝該修正程式，應該可以避免受到此次病毒的威脅。

趨勢科技表示，用戶可以立即到微軟網站下載MS03-026的修補程式，或是到趨勢的網站下載病毒清除程式。

微軟修補程式網站http://www.microsoft.com/taiwan/security/security_bulletins/ms03-026.asp

作者: Jonry 時間: 2003-8-12 12:45
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

star69 wrote:
中標的都是XP吧? 有 2K嗎?

當然有, 我公司裡一堆 Windows 2000 的機器在唉唉叫...

只要是 NT Base 的, 都會有事, 包括 Server 2003 !!

作者: star69 時間: 2003-8-12 12:52
標題: 回覆：回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

Jonry wrote:
[quote]star69 wrote:
中標的都是XP吧? 有 2K嗎?

當然有, 我公司裡一堆 Windows 2000 的機器在唉唉叫...

只要是 NT Base 的, 都會有事, 包括 Server 2003 !! [/quote]
都沒在做安全修正?
我電腦上UPDATA紀錄顯示 2003/7/17 已安裝此安全修正

作者: Jonry 時間: 2003-8-12 12:54
標題: 回覆：回覆：回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中?

star69 wrote:
都沒在做安全修正?
我電腦上UPDATA紀錄顯示 2003/7/17 已安裝此安全修正

有啦, 但是機器太多, 做不完...

我又不想打開自動更新, 免得更新之後問題更多 !!

作者: guruguru 時間: 2003-8-12 13:45
標題: 回覆：回覆：回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中?

star69 wrote:
都沒在做安全修正?
我電腦上UPDATA紀錄顯示 2003/7/17 已安裝此安全修正

自從上次的那個OX修正會把電腦速度弄慢之後，就不太相信修正了。

作者: parrot 時間: 2003-8-12 14:05
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
我不喜歡自動修正, 我寧願手動, 也不想要自動安裝不該裝的修正

Parrot

作者: guruguru 時間: 2003-8-12 14:20
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
現在沒裝的修正有三個... 怪修正
811943最好玩了，要能從"本機登入"，這.....

----------------------------------------------------------------------------------
811493：安全性修正檔 (Windows XP)
下載大小: 3.2 MB
現在已經證實有一個安全性問題，攻擊者可以用來侵入執行 Microsoft(R) Windows(R) XP 的電腦並取得該電腦上的完整控制權。但是攻擊者必須能夠從本機登入該電腦才可以發動攻擊。您可以從 Microsoft 安裝此修正檔，協助保護您的電腦。安裝此項目後，可能必須重新啟動您的電腦。讀取其他資訊... (這可能是英文網站)。

Q328310：安全性修正檔
下載大小: 3.9 MB
已經查出一種可能發生的安全性問題，攻擊者可能用來侵入 Windows 電腦並取得該電腦的完整控制權。攻擊者必須可以登入該電腦才能展開攻擊。您可以從 Microsoft 安裝此修正檔以避免電腦發生此特定問題。安裝此項目後，可能必須重新啟動您的電腦。讀取其他資訊... (這可能是英文網站)。

810577：安全性修正檔
下載大小: 555 KB
現在已經證實有一個安全性問題，攻擊者可以用來侵入 Microsoft(R) Windows(R) XP 電腦並取得該電腦的控制權。但是攻擊者必須能夠登入該電腦才可以嘗試攻擊。您可以從 Microsoft 安裝此修正檔，協助保護您的電腦。安裝此項目後，您可能必須重新啟動您的電腦。讀取其他資訊... (這可能是英文網站)。
-----------------------------------------------------
更好玩的還有一個修正要修正328310

814995：建議更新
下載大小: 989 KB
此修正檔可以解決 Windows XP 中的「在您安裝 328310 修正檔後，某些應用程式相容性修正檔停止作用」問題

作者: jeremiah 時間: 2003-8-12 15:11
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
我一早打開機子...先中鏢之後諾頓才更新完畢....XD
發揮個人奧義精神，自行硬砍一些檔案之後，再裝上修補程式就好了！
很久沒中毒了說，這次竟然被攻破了 @@

作者: star69 時間: 2003-8-12 18:59
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

jeremiah wrote:
我一早打開機子...先中鏢之後諾頓才更新完畢....XD
發揮個人奧義精神，自行硬砍一些檔案之後，再裝上修補程式就好了！
很久沒中毒了說，這次竟然被攻破了 @@

M$自己的Bug 這被攻破也是正常的
安全修正還是要裝阿

作者: star69 時間: 2003-8-12 21:09
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
看最後一段能不更新安全修正嗎?
--
由 http://taiwan.cnet.com/news/ec/story/0,2000022589,20082321,00.htm 轉
-
記者鍾翠玲／台北報導　　12/08/2003

全球昨日再度出現毒蟲利用Windows漏洞威脅企業網路，隨著各地災情的升高，安全軟體廠商也拉高了病毒警報。

一隻名為W32.Blaster.Worm的毒蟲昨（11）日晚上重演年初SQL Slammer的手法蔓延全球，歐美及台灣都傳出災情。這隻毒蟲是利用微軟一個月前才發布的Windows作業系統的漏洞「遠端程序呼叫」(DCOM RPC)進行緩衝溢位攻擊，而這也突顯企業平時做好弱點管理的必要性。

此次W32.Blaster.Worm傳染途徑和年初爆發的「SQL警戒病毒」相似，同樣是採取分散式阻斷服務(DDOS)攻擊感染Windows NT4.0以上的電腦。趨勢科技TrendLabs指出，受感染的電腦會利用Windows系統漏洞採取阻斷服務攻擊135連接埠中RPC(remote Procedure Call)緩衝溢位的弱點，造成電腦無法正常作業或當機停擺及網路擁塞，同時再透過69與4444連結埠去攻擊感染更多的電腦。

台灣微軟也針對W32.Blaster.Worm的病毒，緊急發布安全性修正程式MS03-026於微軟網站上，呼籲使用者下載並且安裝，以避免遭受攻擊。

對於有部分企業尚未即時安裝安全性修正程式MS03-026，導致遭受病毒影響，台灣微軟也發出聲明稿表示遺憾。台灣微軟表示目前已主動通知企業用戶及技術支援合約客戶，提醒他們重視此一病毒可能造成的影響與解決方案。

台灣微軟並於本週 (8/12~8/15) 提供全天候24小時電話支援服務，微軟表示，有需要的用戶可以直撥02-66359111洽詢。或者可於上班時間透過微軟客服專線02-66263366洽詢。或參考網站上更多相關的技術支援訊息。

賽門鐵克昨日發布三度警戒通報，今（12）日下午則更升至四級警戒（最高為第五級）。賽門鐵克DeepSight早期預警管理系統統計顯示，全球超過57,000系統遭受感染，且台灣也接到不少客戶求救訊息。

趨勢科技將該蟲定為中度病毒，並表示目前台灣已有上百家企業受害。

趨勢及賽門鐵克網站也都分別張貼了補救方法。

弱點管理不足是主因

弱點管理也是近日資訊安全界的熱門話題之一。弱點管理服務供應商FoundStone亞太區總監陳彥銘指出，傳統資訊安全產品，都是較為被動的防禦工程，企業必須做好弱點評估、分析及風險管理等措施，才能積極防護企業的數位資產。

從SQL Slammer年初大量肆虐，主因在於企業的資安管理疏忽。他指出，駭客攻擊手法其實多已固定，例如緩衝溢緩，差別在於攻擊工具、參數及對象而已；「像是年初SQL Slammer等毒蟲利用的Windows弱點，早在半年前微軟就已公布，只是企業都沒有去填補起來。」他說。

另外，企業裏的「萬年機器」也是另一個漏洞的主要來源。陳彥銘指出，由於系統環境複雜、IT人力的不足，使得缺乏維護的企業成為駭客攻擊的最佳目標。

賽門鐵克行銷協理許淑菁也指出，早在七月中微軟公布該漏洞時該公司DeepSight警戒服務（Alert Services）的客戶就已得到通知。她表示，賽門鐵克的防火牆或IDS系統也可以在毒蟲爆發時，偵測到相關連接埠的異常流量而將之關閉，但「這些都是被動禦防，平時的修補漏洞才是最根本的方法。」

作者: jeremiah 時間: 2003-8-12 21:36
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
恩....要換Linux重裝上陣了

作者: star69 時間: 2003-8-12 22:36
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

jeremiah wrote:
恩....要換Linux重裝上陣了

可惜的是粉多東西在 Linux 上還是不能跑~ 不得不用 Windows 的狀況還是粉多的...這就是 "現實"...

作者: cmcyijui 時間: 2003-8-12 22:45
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
Hinet 寄Email給我
大家參考看看

================================================================
危險病毒通告--WORM_MSBLAST.A

摘要：

一隻名為WORM_MSBLASR.A的新型駭客病毒，正透過微軟 Windows 系統的漏洞，
橫掃攻擊全球各地電腦用戶。此次WORM_MSBLASR.A傳染途徑和年初爆發的「 SQL警戒病毒」相似，受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC(remote Procedure Call ) Buffer Overrun的弱點，造成電腦無法正常作業或當機停擺及網路壅塞，同時再透過69與4444連結埠去攻擊感染更多的電腦。目前已知在美洲、南美洲、歐洲與台灣均有災情陸續傳出，並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。

影響系統：

Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

決解方法：

此病毒是利用Microsoft MS03-026漏洞進行感染、散播。請盡速下載安裝修補程式
(參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp)。
如果您的電腦受到此蠕蟲感染，可以依下列方式解決。

停止惡意程式 :

1.這個步驟可以終止在記意體中執行的惡意程式.
2.開啟Windows程序管理員(Task Manager)，請按鍵盤
CTRL+SHIFT+ESC, 然後點選處理程序(process)標籤.
3.在所有的程序中，找出下列程序名稱:
MSBLAST.EXE 　
4.點選此惡意程序,並按下下方的終止程序按鈕.
5.請關閉程序管理員，在開啟一次程序管理員，檢查程序是否確實被停止.
6.關閉程序管理員.

移除登入檔的自動啟動程序 :
1.這個步驟從登入檔(registry)中移除自動啟動蠕蟲的程式，以避免開機時自動執行惡
意程式.
2.開啟登入檔編輯程式.請點選開始>執行, 輸入 Regedit, 然後按下 Enter鍵.
3.在左方的子視窗中, 依下列順序點選:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
4.在右方的子視窗中,點選並刪除下列的值:
Windows auto update" = MSBLAST.EXE
5.關閉登入檔編輯程式.

安裝修補程式:
      請參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
參考網站：
賽門鐵克:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
趨勢科技:
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_M
SBLAST.A

作者: Jonry 時間: 2003-8-13 01:23
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
搞了一天, 晚上十一點多才離開公司...

一早起床, 就看到手機上有簡訊, 是趨勢和Symantec的病毒警告, 我對這種病毒簡訊已經習以為常了, 也就沒什麼在意, 還是和往常一樣, 東摸摸西玩玩, 弄到快遲到才出門。

到了公司, OP 馬上就來電, 說有人疑似中毒, 我還半信半疑; 問清楚原因後, 只是 Outlook 打不開, 我只回應了一句: Outlook 打不開, Office 重灌就好啦, 哪有什麼中毒...

結果話說完不到三分鐘, 一堆電話湧進來: 又是 Outlook 打不開, 又是 Excel 不能用... 我才警覺到事態嚴重, 馬上到 Symantec 的網站, 看了 Blaster 這隻病毒的資料, 曉得是用微軟之前的漏洞進來的。我當時心裡還在慶幸: 還好, 公司的 File Server 和 Mail Server 在上個星期就已經下 Hotfix 了, 應該沒事...

哪知, Server 沒事, Client 端麻煩卻一堆!! 公司某一層樓, 所有的 user 都在叫 Outlook 沒辦法開, Excel 和 Word 也沒辦法用。我心裡一涼, 糟! Server 的 Hotfix 都下了, Client 沒半台下 Hotfix!

於是我就開始打電話找救兵, 沒想到 Symantec 和 Trend 的服務電話都打不進去。每次這種時候, 我就知道, 今天又是難過的一天...

忙了一個上午之後, 我還是找不到 msblast.exe, 所以我很難相信, 真的是病毒竄進公司裡來。後了愈來愈多的證據, 都指向 Blaster 這隻病毒。即然求助無門, 我就只好上網找資料, 在匯總了各方的意見後, 才發現 Hotfix KB823980 也許才是解藥!

原本以為, 把 Hotfix 撒下去後, 問題就可以解決, 但是, 我又忽略了一點: 依微軟的建議, 在 Win2K 上裝 KB823980 之前, 要先裝 Service Pack 3 ! 我想又糟, 公司裡有一千多台的 Windows 2000, 其中上到 Service Pack 3 的不過兩三百台, 剩下的七八百台要先裝 Service Pack 3, 才能裝 KB823980 ??

這時老闆下令, 即然是微軟的建議, 那就照辦 !! ( !*%$U#... 這時, 我真想把那個 BG 海扁一頓)。於是, 我就埋頭苦思, 要如何把全公司七, 八百台的電腦, 全裝上 Service Pack 3 ? 公司裡最有力的工具, 就是 SMS 和 Logon Script 。

我對 Logon Script 比較熟, 所以我花了近六個小時的時間, 寫了一套完整的 Logon Script, 對還沒裝 SP3 的電腦, 都給他裝上去, 再把已經裝好 SP3/4 的電腦, 裝上 KB823980; 再寫一封圖文並茂的 email, 發給全公司, 請大家點一點 mail 裡的 link, 直接安裝 SP3.

弄得差不多, 準備走人回家, 這時候微軟打電話來, 說 Blaster 已經出變種病毒了, 這次受害者是 IE 和 IIS。哇咧~~~ 這什麼跟什麼嘛... 不管了, 反正 SP/Hotfix 都請 user 下了, 管他的,
回家皇帝大...

作者: cooltony 時間: 2003-8-13 02:30
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
真是辛苦.. .__.

作者: rex1112 時間: 2003-8-13 04:07
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
唉!!我到凌晨2:30才告一段落!!早上又得在忙一天囉!!這..真是搞慘我囉!!

作者: HUANGLIFU 時間: 2003-8-13 04:16
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
阿夫在這裡只能為各位MIS苦力精神上支持，加油~~~~

作者: parrot 時間: 2003-8-13 08:27
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
跟病毒搏鬥的大家一起加油吧

剛剛已經先手動更新 Symantec 病毒碼 8/12 和 Trend 病毒碼 606

Parrot

作者: Lucian 時間: 2003-8-13 11:33
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

Jonry wrote:
我對 Logon Script 比較熟, 所以我花了近六個小時的時間, 寫了一套完整的 Logon Script, 對還沒裝 SP3 的電腦, 都給他裝上去, 再把已經裝好 SP3/4 的電腦, 裝上 KB823980; 再寫一封圖文並茂的 email, 發給全公司, 請大家點一點 mail 裡的 link, 直接安裝 SP3.

在這也回應一下對於 PRC 對我們公司的影響，
目前公司內部尚未發現這個病毒，只有公司外帶著 notebook 的主管發生，
以及同事們在家中的電腦發生；
我們猜想未發生的原因為：防火牆、趨勢的 Interscan,office scan及server protect，
但我們也知道以上絕非萬能，還是想辦法把 hotfix 上一上。

由於我多年未再碰 logon script，目前的 NT/2000 均由同事在管，（我只是打雜的）
目前公司中的 2000pro 都只給使用者用 power user 來登入，
但這些人都無法使用 hotfix 及 SP；

因此好奇三問，
貴公司每個人都是自己 local 的 administrator嗎？！
如果不是，請教如何讓 power user 做 hotfix、SP？！
如果不是，再請教如何用 logon script 讓他們做 update？！
謝謝！

作者: Jonry 時間: 2003-8-13 16:14
標題: 回覆：回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

Lucian wrote:
貴公司每個人都是自己 local 的 administrator嗎？！

為避免麻煩, 是的 !

如果不是，請教如何讓 power user 做 hotfix、SP？！
如果不是，再請教如何用 logon script 讓他們做 update？！
謝謝！

我只能指出個方向, 因為我沒真正的試過...

用 VB 寫 Script, 再用 Runas 這個指令, 帶 local Admin 的權限.
Runas 這個指令的用法, 就是:
Runas /user:administrator <程式>

問題就在密碼不能寫在 DOS Script 裡, 要用 VB Compiler 起來,
不然 Admin 的密碼外洩, 問題就很大了...

其他的我還沒試過, 因為我當初就曉得裝程式時, 如果沒有 local admin
的權限, 會相當麻煩, 所以才把 user 都加到 local admin 裡去...

作者: parrot 時間: 2003-8-13 16:20
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
今天跟朋友聊天發現, 透過實體 ip 連上 internet 的比較容易中獎

Parrot

作者: Jerry 時間: 2003-8-13 16:33
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
唉，忙了二天，公司今天終於搞定了。
幸好公司win98還佔大部份，不然就死的很慘。

作者: 拍郎 時間: 2003-8-13 16:46
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

parrot wrote:
今天跟朋友聊天發現, 透過實體 ip 連上 internet 的比較容易中獎

Parrot

不一定啦
主要感染方式是攻擊某個 port
所以大多數在 NAT 架構下的
除非有設定 DMZ 區
或是區網內有人中獎
要不然是不會被感染

實體 IP 的話
如果沒有防火牆
或是沒有關閉該 port
又沒有 hotfix 的話
就會中獎了

作者: jenwei 時間: 2003-8-13 17:44
標題: 回覆： [求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
foundstone 出了一個掃瞄工具，可以檢查網路尚未修補漏洞的PC

http://www.foundstone.com/index. ... roddesc/rpcscan.htm

----------------------
修改備註：
原iframe會自動導向到該公司網站，為避免閱覽上的問題，故修改成url。
by huanglifu

作者: guruguru 時間: 2003-8-14 01:22
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
剛剛用電話教了一個不會用電腦and用撥接上網的人裝這修正檔...
搞了快2小時才弄好...

一開始"工作管理員"程式找不到"處理程序"，後來才想到原因...
二來windows.com的檔案抓不下來，還好國內有人在網站上有放...
三來連刪除檔案都要一步一步的教....
四來竟然撥接的在電腦沒上網時病毒也會發作???  怪....

明天5:30起床...  -_-

各位MIS跟客服人員辛苦了....

作者: guruguru 時間: 2003-8-14 01:29
標題: Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
在win2000印象中好像可以由AD Server強迫在同一個域名中的電腦安裝檔案或更新程式等...
MCSE都忘光光了...

作者: Jonry 時間: 2003-8-14 09:43
標題: 回覆： Re:[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

guruguru wrote:
在win2000印象中好像可以由AD Server強迫在同一個域名中的電腦安裝檔案或更新程式等...
MCSE都忘光光了...

Yes, Group Policy 裡的 Remote Install。不過...很難用...

作者: Katsuya 時間: 2003-8-14 14:49
標題: 回覆： [求助] WINXP下的Remote Procedure Call(PRC)服務被中止...
I think it's a bit late to post this but anyway~~

嗯，這是目前最熱門的 exploit 了。尤其在www.xforcus.net 直接把攻擊程式原始碼公布出來後，更是讓這個漏洞成為許多電腦安全/系統討論網站的熱門話題。

利用這個對 RPC 的攻擊，Hacker 可以造成系統死當（必須要重新開機），和取得管理員資格。

http://www.xfocus.org/documents/200307/2.html
中文版好像被移除了.. 奇怪.. 在 forum 內可以找到其他更多關於這個漏洞的討論（不過一般人比較喜歡討論的似乎是，這個攻擊的成功率，程式跑不跑得起來）

--

Microsoft RPC接口遠程任意代碼可執行漏洞

發佈時間：2003-07-14
更新時間：2003-07-14
嚴重程度：高
威脅程度：遠程管理員權限
錯誤類型：設計錯誤
利用方式：服務器模式
CVE(CAN) ID：CAN-2003-0352

受影響系統

Microsoft Windows NT? 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003

詳細描述
Remote Procedure Call (RPC)調用是WINDOWS使用的一個協議，提供進程間交互通信，允許程序在遠程機器上運行任意程序。

RPC在處理通過TCP/IP進行信息交換過程中存在漏洞，問題由於不正確處理畸形消息造成。主要此漏洞影響使用RPC的DCOM接口，監聽RPC使能的接口，這個接口處理DCOM對像激活請求。攻擊者如果成功利用此漏洞，可以以系統用戶權限執行任意代碼。

要利用這個漏洞，可以發送畸形請求給遠程服務器監聽的特定RPC端口。如135、139、445等任何配置了RPC端口的機器。

測試代碼
尚無

解決方案
採用防火牆過濾這些配置了RPC的端口。

補丁下載：

Windows NT 4.0 Server ：

http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

Windows NT 4.0 Terminal Server Edition：

http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000：

http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

Windows XP 32 bit Edition ：

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

Windows XP 64 bit Edition：

http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

Windows Server 2003 32 bit Edition：

http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

Windows Server 2003 64 bit Edition：

http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

相關信息
參考：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)