[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

guruguru

今天開機時一直出現這個訊息，一直重開機，
剛剛重灌之後一樣有此問題，只好把那個服務先調成執行失敗時不做任何動作。
而且只要拔掉網路線就不會出現那個訊息。
  
請問有人知道這是哪邊出了問題?   網路卡? 還是SeedNet or 中花電遜?

Katsuya

I think it's a bit late to post this but anyway~~
  
嗯，這是目前最熱門的 exploit 了。 尤其在www.xforcus.net 直接把攻擊程式原始碼公布出來後，更是讓這個漏洞成為許多電腦安全/系統討論網站的熱門話題。  
  
利用這個對 RPC 的攻擊，Hacker 可以造成系統死當（必須要重新開機），和取得管理員資格。  
  
http://www.xfocus.org/documents/200307/2.html  
中文版好像被移除了.. 奇怪.. 在 forum 內可以找到其他更多關於這個漏洞的討論（不過一般人比較喜歡討論的似乎是，這個攻擊的成功率，程式跑不跑得起來）  
  
--  
  
Microsoft RPC接口遠程任意代碼可執行漏洞  
  
發佈時間：2003-07-14  
更新時間：2003-07-14  
嚴重程度：高  
威脅程度：遠程管理員權限  
錯誤類型：設計錯誤  
利用方式：服務器模式  
CVE(CAN) ID：CAN-2003-0352  
  
受影響系統  
  
Microsoft Windows NT? 4.0  
Microsoft Windows NT 4.0 Terminal Services Edition  
Microsoft Windows 2000  
Microsoft Windows XP  
Microsoft Windows Server? 2003  
  
詳細描述  
Remote Procedure Call (RPC)調用是WINDOWS使用的一個協議，提供進程間交互通信，允許程序在遠程機器上運行任意程序。  
  
RPC在處理通過TCP/IP進行信息交換過程中存在漏洞，問題由於不正確處理畸形消息造成。主要此漏洞影響使用RPC的DCOM接口，監聽RPC使能的接口，這個接口處理DCOM對像激活請求。攻擊者如果成功利用此漏洞，可以以系統用戶權限執行任意代碼。  
  
要利用這個漏洞，可以發送畸形請求給遠程服務器監聽的特定RPC端口。如135、139、445等任何配置了RPC端口的機器。  
  
測試代碼  
尚無  
  
解決方案  
採用防火牆過濾這些配置了RPC的端口。  
  
補丁下載：  
  
Windows NT 4.0 Server ：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en  
  
Windows NT 4.0 Terminal Server Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en  
  
Windows 2000：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en  
  
Windows XP 32 bit Edition ：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en  
  
Windows XP 64 bit Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en  
  
Windows Server 2003 32 bit Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en  
  
Windows Server 2003 64 bit Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en  
  
相關信息  
參考：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Jonry

guruguru wrote:
在win2000印象中好像可以由AD Server強迫在同一個域名中的電腦安裝檔案或更新程式等...
MCSE都忘光光了...

Yes, Group Policy 裡的 Remote Install。不過...很難用...

guruguru

在win2000印象中好像可以由AD Server強迫在同一個域名中的電腦安裝檔案或更新程式等...
MCSE都忘光光了...

guruguru

剛剛用電話教了一個不會用電腦and用撥接上網的人裝這修正檔...
搞了快2小時才弄好...
  
一開始"工作管理員"程式找不到"處理程序"，後來才想到原因...
二來windows.com的檔案抓不下來，還好國內有人在網站上有放...
三來連刪除檔案都要一步一步的教....
四來竟然撥接的在電腦沒上網時病毒也會發作???  怪....
  
明天5:30起床...  -_-
  
各位MIS跟客服人員辛苦了....

jenwei

foundstone 出了一個掃瞄工具，可以檢查網路尚未修補漏洞的PC
http://www.foundstone.com/index. ... roddesc/rpcscan.htm
  
----------------------
修改備註：
原iframe會自動導向到該公司網站，為避免閱覽上的問題，故修改成url。
by huanglifu

拍郎

parrot wrote:
今天跟朋友聊天發現, 透過實體 ip 連上 internet 的比較容易中獎
  
Parrot

  
不一定啦
主要感染方式是攻擊某個 port
所以大多數在 NAT 架構下的
除非有設定 DMZ 區
或是區網內有人中獎
要不然是不會被感染
  
實體 IP 的話
如果沒有防火牆
或是沒有關閉該 port
又沒有 hotfix 的話
就會中獎了

Jerry

唉，忙了二天，公司今天終於搞定了。
幸好公司win98還佔大部份，不然就死的很慘。

parrot

今天跟朋友聊天發現, 透過實體 ip 連上 internet 的比較容易中獎
  
Parrot

Jonry

Lucian wrote:
貴公司每個人都是自己 local 的 administrator嗎？！

為避免麻煩, 是的 !

如果不是，請教如何讓 power user 做 hotfix、SP？！
如果不是，再請教如何用 logon script 讓他們做 update？！
謝謝！

我只能指出個方向, 因為我沒真正的試過...
  
用 VB 寫 Script, 再用 Runas 這個指令, 帶 local Admin 的權限.
Runas 這個指令的用法, 就是:
Runas /user:administrator <程式>
  
問題就在密碼不能寫在 DOS Script 裡, 要用 VB Compiler 起來,
不然 Admin 的密碼外洩, 問題就很大了...
  
其他的我還沒試過, 因為我當初就曉得裝程式時, 如果沒有 local admin
的權限, 會相當麻煩, 所以才把 user 都加到 local admin 裡去...

parrot

跟病毒搏鬥的大家一起加油吧
剛剛已經先手動更新 Symantec 病毒碼 8/12 和 Trend 病毒碼 606
  
Parrot

HUANGLIFU

阿夫在這裡只能為各位MIS苦力精神上支持，加油~~~~

rex1112

唉!!我到凌晨2:30才告一段落!!早上又得在忙一天囉!!這..真是搞慘我囉!!

cooltony

真是辛苦..   .__.

Jonry

搞了一天, 晚上十一點多才離開公司...
  
一早起床, 就看到手機上有簡訊, 是趨勢和Symantec的病毒警告, 我對這種病毒簡訊已經習以為常了, 也就沒什麼在意, 還是和往常一樣, 東摸摸西玩玩, 弄到快遲到才出門。
  
到了公司, OP 馬上就來電, 說有人疑似中毒, 我還半信半疑; 問清楚原因後, 只是 Outlook 打不開, 我只回應了一句: Outlook 打不開, Office 重灌就好啦, 哪有什麼中毒...
  
結果話說完不到三分鐘, 一堆電話湧進來: 又是 Outlook 打不開, 又是 Excel 不能用... 我才警覺到事態嚴重, 馬上到 Symantec 的網站, 看了 Blaster 這隻病毒的資料, 曉得是用微軟之前的漏洞進來的。我當時心裡還在慶幸: 還好, 公司的 File Server 和 Mail Server 在上個星期就已經下 Hotfix 了, 應該沒事...
  
哪知, Server 沒事, Client 端麻煩卻一堆!! 公司某一層樓, 所有的 user 都在叫 Outlook 沒辦法開, Excel 和 Word 也沒辦法用。我心裡一涼, 糟! Server 的 Hotfix 都下了, Client 沒半台下 Hotfix!  
  
於是我就開始打電話找救兵, 沒想到 Symantec 和 Trend 的服務電話都打不進去。每次這種時候, 我就知道, 今天又是難過的一天...
  
忙了一個上午之後, 我還是找不到 msblast.exe, 所以我很難相信, 真的是病毒竄進公司裡來。後了愈來愈多的證據, 都指向 Blaster 這隻病毒。即然求助無門, 我就只好上網找資料, 在匯總了各方的意見後, 才發現 Hotfix KB823980 也許才是解藥!
  
原本以為, 把 Hotfix 撒下去後, 問題就可以解決, 但是, 我又忽略了一點: 依微軟的建議, 在 Win2K 上裝 KB823980 之前, 要先裝 Service Pack 3 ! 我想又糟, 公司裡有一千多台的 Windows 2000, 其中上到 Service Pack 3 的不過兩三百台, 剩下的七八百台要先裝 Service Pack 3, 才能裝 KB823980 ??
  
這時老闆下令, 即然是微軟的建議, 那就照辦 !! ( !*%$U#... 這時, 我真想把那個 BG 海扁一頓)。於是, 我就埋頭苦思, 要如何把全公司七, 八百台的電腦, 全裝上 Service Pack 3 ? 公司裡最有力的工具, 就是 SMS 和 Logon Script 。
  
我對 Logon Script 比較熟, 所以我花了近六個小時的時間, 寫了一套完整的 Logon Script, 對還沒裝 SP3 的電腦, 都給他裝上去, 再把已經裝好 SP3/4 的電腦, 裝上 KB823980; 再寫一封圖文並茂的 email, 發給全公司, 請大家點一點 mail 裡的 link, 直接安裝 SP3.
  
弄得差不多, 準備走人回家, 這時候微軟打電話來, 說 Blaster 已經出變種病毒了, 這次受害者是 IE 和 IIS。哇咧~~~ 這什麼跟什麼嘛... 不管了, 反正 SP/Hotfix 都請 user 下了, 管他的,
回家皇帝大...

cmcyijui

Hinet 寄Email給我
大家參考看看
  
================================================================
危險病毒通告--WORM_MSBLAST.A
  
摘要：
  
一隻名為WORM_MSBLASR.A的新型駭客病毒，正透過微軟 Windows 系統的漏洞，
橫掃攻擊全球各地電腦用戶。此次WORM_MSBLASR.A傳染途徑和年初爆發的「 SQL警戒病毒」相似，受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC(remote Procedure Call ) Buffer Overrun的弱點，造成電腦無法正常作業或當機停擺及網路壅塞，同時再透過69與4444連結埠去攻擊感染更多的電腦。目前已知在美洲、南美洲、歐洲與台灣均有災情陸續傳出，並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。
  
影響系統：
  
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
  
決解方法：
  
此病毒是利用Microsoft MS03-026漏洞進行感染、散播。請盡速下載安裝修補程式
(參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp)。
如果您的電腦受到此蠕蟲感染，可以依下列方式解決。
  
停止惡意程式 :
  
1.這個步驟可以終止在記意體中執行的惡意程式.
2.開啟Windows程序管理員(Task Manager)，請按鍵盤
   CTRL+SHIFT+ESC, 然後點選處理程序(process)標籤.
3.在所有的程序中，找出下列程序名稱:
   MSBLAST.EXE 　
4.點選此惡意程序,並按下下方的終止程序按鈕.
5.請關閉程序管理員，在開啟一次程序管理員 ，檢查程序是否確實被停止.
6.關閉程序管理員.
  
移除登入檔的自動啟動程序 :
1.這個步驟從登入檔(registry)中移除自動啟動蠕蟲的程式，以避免開機時自動執行惡
意程式.
2.開啟登入檔編輯程式.請點選 開始>執行, 輸入 Regedit, 然後按下 Enter鍵.
3.在左方的子視窗中, 依下列順序點選:
   HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
4.在右方的子視窗中,點選並刪除下列的值:
   Windows auto update" = MSBLAST.EXE
5.關閉登入檔編輯程式.
  
安裝修補程式:
        請參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
參考網站：
賽門鐵克:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
趨勢科技:
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_M
SBLAST.A

star69

jeremiah wrote:
恩....要換Linux重裝上陣了

可惜的是粉多東西在 Linux 上還是不能跑~ 不得不用 Windows 的狀況還是粉多的...這就是 "現實"...

Lucian

Jonry wrote:
我對 Logon Script 比較熟, 所以我花了近六個小時的時間, 寫了一套完整的 Logon Script, 對還沒裝 SP3 的電腦, 都給他裝上去, 再把已經裝好 SP3/4 的電腦, 裝上 KB823980; 再寫一封圖文並茂的 email, 發給全公司, 請大家點一點 mail 裡的 link, 直接安裝 SP3.

在這也回應一下對於 PRC 對我們公司的影響，
目前公司內部尚未發現這個病毒，只有公司外帶著 notebook 的主管發生，
以及同事們在家中的電腦發生；
我們猜想未發生的原因為：防火牆、趨勢的 Interscan,office scan及server protect，
但我們也知道以上絕非萬能，還是想辦法把 hotfix 上一上。
  
由於我多年未再碰 logon script，目前的 NT/2000 均由同事在管，（我只是打雜的）
目前公司中的 2000pro 都只給使用者用 power user 來登入，
但這些人都無法使用 hotfix 及 SP；
  
因此好奇三問，
貴公司每個人都是自己 local 的 administrator嗎？！
如果不是，請教如何讓 power user 做 hotfix、SP？！
如果不是，再請教如何用 logon script 讓他們做 update？！
謝謝！

jeremiah

恩....要換Linux重裝上陣了

star69

看最後一段 能不更新安全修正嗎?
--
由 http://taiwan.cnet.com/news/ec/story/0,2000022589,20082321,00.htm 轉
-
記者鍾翠玲／台北報導　　12/08/2003
  
全球昨日再度出現毒蟲利用Windows漏洞威脅企業網路，隨著各地災情的升高，安全軟體廠商也拉高了病毒警報。  
  
一隻名為W32.Blaster.Worm的毒蟲昨（11）日晚上重演年初SQL Slammer的手法蔓延全球，歐美及台灣都傳出災情。這隻毒蟲是利用微軟一個月前才發布的Windows作業系統的漏洞「遠端程序呼叫」(DCOM RPC)進行緩衝溢位攻擊，而這也突顯企業平時做好弱點管理的必要性。  
  
此次W32.Blaster.Worm傳染途徑和年初爆發的「SQL警戒病毒」相似，同樣是採取分散式阻斷服務(DDOS)攻擊感染Windows NT4.0以上的電腦。趨勢科技TrendLabs指出，受感染的電腦會利用Windows系統漏洞採取阻斷服務攻擊135連接埠中RPC(remote Procedure Call)緩衝溢位的弱點，造成電腦無法正常作業或當機停擺及網路擁塞，同時再透過69與4444連結埠去攻擊感染更多的電腦。  
  
台灣微軟也針對W32.Blaster.Worm的病毒，緊急發布安全性修正程式MS03-026於微軟網站上，呼籲使用者下載並且安裝，以避免遭受攻擊。  
  
對於有部分企業尚未即時安裝安全性修正程式MS03-026，導致遭受病毒影響，台灣微軟也發出聲明稿表示遺憾。台灣微軟表示目前已主動通知企業用戶及技術支援合約客戶，提醒他們重視此一病毒可能造成的影響與解決方案。  
  
台灣微軟並於本週 (8/12~8/15) 提供全天候24小時電話支援服務，微軟表示，有需要的用戶可以直撥02-66359111洽詢。或者可於上班時間透過微軟客服專線02-66263366洽詢。或參考網站上更多相關的技術支援訊息。  
  
賽門鐵克昨日發布三度警戒通報，今（12）日下午則更升至四級警戒（最高為第五級）。賽門鐵克DeepSight早期預警管理系統統計顯示，全球超過57,000系統遭受感染，且台灣也接到不少客戶求救訊息。
  
趨勢科技將該蟲定為中度病毒，並表示目前台灣已有上百家企業受害。
  
趨勢及賽門鐵克網站也都分別張貼了補救方法。
  
弱點管理不足是主因
  
弱點管理也是近日資訊安全界的熱門話題之一。弱點管理服務供應商FoundStone亞太區總監陳彥銘指出，傳統資訊安全產品，都是較為被動的防禦工程，企業必須做好弱點評估、分析及風險管理等措施，才能積極防護企業的數位資產。
  
從SQL Slammer年初大量肆虐，主因在於企業的資安管理疏忽。他指出，駭客攻擊手法其實多已固定，例如緩衝溢緩，差別在於攻擊工具、參數及對象而已；「像是年初SQL Slammer等毒蟲利用的Windows弱點，早在半年前微軟就已公布，只是企業都沒有去填補起來。」他說。
  
另外，企業裏的「萬年機器」也是另一個漏洞的主要來源。陳彥銘指出，由於系統環境複雜、IT人力的不足，使得缺乏維護的企業成為駭客攻擊的最佳目標。
  
賽門鐵克行銷協理許淑菁也指出，早在七月中微軟公布該漏洞時該公司DeepSight警戒服務（Alert Services）的客戶就已得到通知。她表示，賽門鐵克的防火牆或IDS系統也可以在毒蟲爆發時，偵測到相關連接埠的異常流量而將之關閉，但「這些都是被動禦防，平時的修補漏洞才是最根本的方法。」

star69

jeremiah wrote:
我一早打開機子...先中鏢之後諾頓才更新完畢....XD
發揮個人奧義精神，自行硬砍一些檔案之後，再裝上修補程式就好了！
很久沒中毒了說，這次竟然被攻破了 @@

M$自己的Bug 這被攻破也是正常的
安全修正還是要裝阿

jeremiah

我一早打開機子...先中鏢之後諾頓才更新完畢....XD
發揮個人奧義精神，自行硬砍一些檔案之後，再裝上修補程式就好了！
很久沒中毒了說，這次竟然被攻破了 @@

guruguru

現在沒裝的修正有三個... 怪修正
811943最好玩了，要能從"本機登入"，這.....
  
----------------------------------------------------------------------------------
811493：安全性修正檔 (Windows XP)
下載大小: 3.2 MB
現在已經證實有一個安全性問題，攻擊者可以用來侵入執行 Microsoft(R) Windows(R) XP 的電腦並取得該電腦上的完整控制權。但是攻擊者必須能夠從本機登入該電腦才可以發動攻擊。您可以從 Microsoft 安裝此修正檔，協助保護您的電腦。安裝此項目後，可能必須重新啟動您的電腦。 讀取其他資訊... (這可能是英文網站)。
  
Q328310：安全性修正檔
下載大小: 3.9 MB
已經查出一種可能發生的安全性問題，攻擊者可能用來侵入 Windows 電腦並取得該電腦的完整控制權。攻擊者必須可以登入該電腦才能展開攻擊。您可以從 Microsoft 安裝此修正檔以避免電腦發生此特定問題。安裝此項目後，可能必須重新啟動您的電腦。 讀取其他資訊... (這可能是英文網站)。
  
810577：安全性修正檔
下載大小: 555 KB
現在已經證實有一個安全性問題，攻擊者可以用來侵入 Microsoft(R) Windows(R) XP 電腦並取得該電腦的控制權。但是攻擊者必須能夠登入該電腦才可以嘗試攻擊。您可以從 Microsoft 安裝此修正檔，協助保護您的電腦。安裝此項目後，您可能必須重新啟動您的電腦。 讀取其他資訊... (這可能是英文網站)。
-----------------------------------------------------
更好玩的還有一個修正要修正328310
  
814995：建議更新
下載大小: 989 KB
此修正檔可以解決 Windows XP 中的「在您安裝 328310 修正檔後，某些應用程式相容性修正檔停止作用」問題

parrot

我不喜歡自動修正, 我寧願手動, 也不想要自動安裝不該裝的修正
  
Parrot

guruguru

star69 wrote:
都沒在做安全修正?
我電腦上UPDATA紀錄顯示 2003/7/17 已安裝此安全修正

自從上次的那個OX修正會把電腦速度弄慢之後，就不太相信修正了。

Jonry

star69 wrote:
都沒在做安全修正?
我電腦上UPDATA紀錄顯示 2003/7/17 已安裝此安全修正

有啦, 但是機器太多, 做不完...
  
我又不想打開自動更新, 免得更新之後問題更多 !!

star69

Jonry wrote:
[quote]star69 wrote:
中標的都是XP吧? 有 2K嗎?

當然有, 我公司裡一堆 Windows 2000 的機器在唉唉叫...
  
只要是 NT Base 的, 都會有事, 包括 Server 2003 !! [/quote]
都沒在做安全修正?
我電腦上UPDATA紀錄顯示 2003/7/17 已安裝此安全修正

Jonry

star69 wrote:
中標的都是XP吧? 有 2K嗎?

當然有, 我公司裡一堆 Windows 2000 的機器在唉唉叫...
  
只要是 NT Base 的, 都會有事, 包括 Server 2003 !!

star69

由 http://www.ettoday.com/2003/08/12/91-1496789.htm 轉
-
疾風病毒　專挑微軟漏洞 2003/08/12 11:47  
   
  
　記者歐陽宜珊／台北報導  
  
防毒公司趨勢科技與賽門鐵克在12日早上不約而同地發佈中度病毒警告，有一隻名為疾風病毒(WORM_MSBLAST.A)正利用微軟漏洞對NT、2000、NET Server進行攻擊。這隻病毒已在歐美傳出災情，預估台灣也會受到不小的影響，趨勢科技呼籲MIS人員立即到微軟的網站下載修補程式。  
  
   
  大家對此病毒的蔓延方式應該不陌生，今年初在台引起一陣恐慌的Slammer，也是專門針對微軟伺服器漏洞進行攻擊。不同的是，Slammer只針對SQL Server，而疾風病毒(WORM_MSBLAST.A)卻是針對Windows NT、2000、NET Server進行漏洞攻擊。  
  
趨勢科技說，疾風病毒(WORM_MSBLAST.A)不會透過email或是網路芳鄰傳染，而是經由135 Port直接攻擊。攻擊的方式是不停地對其伺服器丟出封包，嚴重時會產生系統不穩、管理者權限被更改。而且它還會重覆攻擊其它電腦，並且不斷連結到Windows update的伺服器，試圖癱瘓此更新伺服器。由於微軟在7月16日才公佈這個漏洞的修補程式，如果公司MIS人員還未更新這個漏洞修補程式，就很容易被攻擊。若用戶已安裝該修正程式，應該可以避免受到此次病毒的威脅。  
  
趨勢科技表示，用戶可以立即到微軟網站下載MS03-026的修補程式，或是到趨勢的網站下載病毒清除程式。  
  
微軟修補程式網站http://www.microsoft.com/taiwan/security/security_bulletins/ms03-026.asp  

star69

小酒蟲 wrote:
引用部份該連結的內容：
  
========================================
為了攻擊這項弱點，攻擊者需要具備發送特殊製作的要求的能力給遠端已開啟 135、139 或 445 埠號、或任何其他設定了 RPC 通訊埠的遠端電腦。在內部網路環境中，這些通訊埠可正常存取，但是對連接上 Internet 的機器而言，最好可以透過防火牆來封鎖。在這些通訊埠沒有被封鎖，或是內部網路的情形下，攻擊者就不需要任何額外的使用權限。
========================================
  
看來應該是大部份沒有架 firewall 的 clients 會先中鏢。

就算有裝防火牆但是不會用的人還是有可能中標
就有人裝防火牆是裝飾用的 什麼警告訊息都按 YES 那就完了