RPC服务器安全配制[已发表在2003年第11期黑客防线]

　　九月十日微软急紧发布了最新的RPC漏洞信息，攻击者只要向远程计算机上的 135 端口发送特殊格式的请求就可以获得对远程计算机的完全控制，这使得攻击者能够对服务器随意执行任何操作，包括更改网页，格式化硬盘或者向本地管理员组中添加新的用户。　　此漏洞将会影响运行  MICROSOFT WINDOWS的用户：

　　Microsoft Windows NT 4.0
　　Microsoft Windows NT 4.0 Terminal Services Edition
　　Microsoft Windows 2000
　　Microsoft Windows XP
　　Microsoft Windows Server 2003

　　(RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF（开放式软件基础）RPC 协议衍生出来的，只是增加了一些 Microsoft 特定的扩展。

　　RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口，此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求（例如通用命名约定 (UNC) 路径）。

　　此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息，则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题，进而使任意代码得以执行。

　　而135端口则成了问题出现的最根本的起源

　　对于服务器而言,我们现在需要做的就是尽可能快的封上你的135端口,以下是一些安全配制方法：

　　A、在防火墙上封堵 135 端口。

　　135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口：

　　135/TCP epmap
　　135/UDP epmap
　　139/TCP netbios-ssn
　　139/UDP netbios-ssn
　　445/TCP microsoft-ds
　　445/UDP microsoft-ds
　　593/TCP http-rpc-epmap
　　593/UDP http-rpc-epmap

[1] [2] [3] [4] 下一页