注意:以下为投诉中常见的几种安全问题的说明,仅供参考,对于具体问题还需要根据具体情况详细处理。
1、简要说明
是利用数据库管理员(SA账户)口令为空的微软SQL server进行传播的蠕虫病毒。蠕虫传播的端口为TCP 1433。此蠕虫病毒并不破坏被感染系统,但是它会消耗网络资源,降低系统的安全性。
2、感染病毒的系统特征
在感染了此病毒的系统里面可能会发现下列文件之一:
%WINDIR%\system32\sqlprocess.js
%WINDIR%\system32\sqlexec.js
%WINDIR%\system32\sqldir.js
%WINDIR%\system32\run.js
%WINDIR%\system32\sqlinstall.bat
%WINDIR%\system32\clemail.exe
%WINDIR%\system32\pwdump2.exe
%WINDIR%\system32\samdump.dll
%WINDIR%\system32\timer.dll
%WINDIR%\system32\drivers\services.exe
3、清除病毒的手工方法(仅供参考)
i. 使用命令:user guest /active:no,暂时禁用windows 系统的guest账户;
ii. 使用命令: net localgroup Administrators guest /delete,将guest账户从系统管理员组里面删除;
iii. 使用命令: net group "Domain Admins" guest /delete,将guest账户从域管理员组中删除;
iv. 使用命令:regsvr32 /u timer.dll,将动态链接库timer.dll 反注册;
v.
删除下列文件,这些文件可能具有隐藏属性:
%WINDIR%\system32\sqlprocess.js
%WINDIR%\system32\sqlexec.js
%WINDIR%\system32\sqldir.js
%WINDIR%\system32\run.js
%WINDIR%\system32\sqlinstall.bat
%WINDIR%\system32\clemail.exe
%WINDIR%\system32\pwdump2.exe
%WINDIR%\system32\samdump.dll
%WINDIR%\system32\timer.dll
%WINDIR%\system32\drivers\services.exe
vi. 推荐重新启动系统
1、简要说明
是利用微软SQL server存在的缓冲区溢出安全漏洞(MS02-039、MS02-061)进行传播的蠕虫病毒。蠕虫传播的端口为UDP 1434。此蠕虫病毒严重消耗网络资源,引起网络雍堵。该病毒仅存在于系统的内存之中,不会修改硬盘中的文件。
2、感染病毒的系统特征
网络侧的特征是:
染毒的系统会大量发送目的端口为1434,长度为376个字节的udp报文
3、清除病毒的手工方法(仅供参考)
下面两种方法均可以用来清除此病毒:
a) 重新启动系统
b) 下载补丁安装
1、简要说明
此病毒利用震荡波病毒在系统中遗留的后门和微软安全漏洞MS04-11传播。此蠕虫病毒严重消耗网络资源,引起网络雍堵。
2、感染病毒的系统特征
病毒将在系统中一下目录中创建名为package.exe的文件。
%SYSTEM%
c:\Documents and Settings\All Users\Main menu\Programs\StartUp
c:\Documents and Settings\All Users\Start Menu\Programs\Starup
并在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe。
病毒还会监听系统9898端口。
3、清除病毒的手工方法(仅供参考)
i.
打开注册表编辑器, 如果存在的话,删除如下键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Sassfix=%SYSTEM%\package.exe;
ii. 打开任务管理器,终止名为: package.exe的进程
iii. 将%SYSTEM%\system,C:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及C:\Documents and Settings\All Users\Start Menu\Programs\Starup目录下的文件: package.exe删除。
1、简要说明
此病毒利用微软安全漏洞MS03-039和MS04-11传播。此蠕虫病毒会在系统中安装IRC后门,并引起某些端口的异常流量(如TCP 11768或者TCP 15118)。
2、感染病毒的系统特征
系统感染此病毒后会,注册表中出现下面键之一:
HKLM\SYSTEM\CurrentControlSet\Services\WebPoster
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBPOSTER HKLM\Software\Microsoft\Windows\CurrentVersion\Run下面会出现键名为WinNetDDE,键值为%SYSTEM%\<random filename>
系统监听TCP 11768或者TCP 15118端口。
3、清除病毒的手工方法(仅供参考)
请使用杀毒软件进行清除
注意:
清除上述病毒后,需要安装相应的安全补丁,以避免系统再次感染相同的病毒
1、 简要说明
DameWare为一远程管理控制软件,只需在管理员本地机器安装该工具,远程客户机不需进行任何安装和设置,只要知道客户机的管理员帐号和密码,就能够顺利完成远程管理和维护工作。运行该工具,首先会扫描整个局域网。
被投诉的IP地址可能安装了该软件,有可能对外界主机进行非法操作。
2、 解决办法
查明被投诉地址主机的行为,根据情况进行阻止或者警告处理。
1、 简要说明
TLS(Transport Layer Security),它的主要功能是验证通信双方身份,并增强传输层数据的安全性。SSL(Secure
Sockets Layer)以及TLS为服务器和客户端系统之间提供了一个加密的连接,可以帮助用户在通过网络进行连接时保护信息。HTTP over TLS/SSL提供安全 HTTP通讯的通讯协定,只有当您正在执行Web服务器时,才应该开启它。
被投诉地址只是开启了此功能,不一定存在什么安全问题。但有些情况下,开启了此功能的系统可能存在漏洞引起安全隐患。例如引起系统拒绝服务,导致受影响的系统重启等问题。
2、解决办法
为了确保安全,可以进行一次检查。如果确实存在隐患,可以打补丁进行解决。
1、 简要说明
Lsass(The Local Security Authority
Subsystem Service)。用于鉴定本地以及客户服务器环境下的用户身份,并且还有一些功能供ActiveDirectory(Windows平台的中心组件,对于组成网络环境的一些特性和关系,它可以提供的方法)使用。
Lsass中存在的缓存溢出漏洞允许攻击者远程代码执行完全控制受影响的系统。Windows 2000以及Windows XP系统都会收到影响。
2、 解决方法
到微软网站上进行升级。
1、 简要说明
MS WBT(Microsoft Windows Based Terminal). 与它类似的名字有终端服务或者远程协助或者远程桌面服务。其端口号为3389。WBT的优势就在于降低网络和信息管理费用,而且使用终端服务还可以节省能源、抵御病毒侵扰、提高可靠性、增加安全性。
2、 解决方法
1、 简要说明
MSBlast蠕虫影响存在漏洞的Windows NT、2000以及XP操作系统。它不是一个邮件蠕虫,它通过存在漏洞的网络端口扫描internet然后利用这些漏洞来攻击没有被保护的计算机。MSBlast会造成关键服务变慢,并且引起计算机瘫痪或者经常重启。Nachi也叫作Welchia使用MSBlast相同的漏洞网络端口传到系统内。Nachi像其他任何蠕虫一样会引起相同的破坏,它控制计算机系统,使用它来扫描其他受影响的系统,引起网络拥塞和系统不稳定。
2、 解决方法
关闭系统还原功能(在开始-我的电脑-属性-关闭系统还原)。运行正确的操作系统补丁。
安装了补丁后,不会再出现每隔几分钟的重启现象,然而病毒仍然存在,此时可以从网上下载一些新的更新包。运行lovsan fix,fixblast fix。重启计算机,更新最新的病毒文件版本。
1、 简要说明
mySQL缓存存在溢出漏洞,引起远程利用。攻击者可以利用漏洞获取权限进行远程控制。
2、 解决方法
到相关网站上进行升级。
1、 简要说明
受影响的系统为Windows98/2000/NT通过三种方式传播:电子邮件、网络资源共享、微软IIS伺服器。该病毒的主要破坏行为是透过电子邮件大量散播夹带名为readme.exe、
readme.wav 或 readme.com的电子邮件,造成网络频宽的拥塞,使用者将明显发现网路的速度变慢。另外,该病毒还会自动找寻网络上的芳邻以及微软IIS网页伺服器进行感染,但如果不小心连上了中毒网站,将遭病毒感染。
2、 解决方法
到微软网站上更新IIS Patch。
1、 简要说明
NetBIOS会话服务,NetBIOS(网络基本输入输出系统)会话服务是TCP/IP上的NetBIOS (NetBT)协议族的一部分,它用于服务器消息块(SMB)、文件共享和打印。端口号为139。
139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。
2、 解决方法
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
1、简要说明
WINS(Windows Internet Name Service)是互联网命名服务器,它中存在有漏洞,导致漏洞存在的原因是因为WINS服务用来验证特别创建的报文长度的方法中存在错误。利用这个漏洞攻击者可以对受影响的WINS服务进行拒绝服务攻击。例如Windows 2003 server本身带有一项安全功能,这项安全功能会检测系统服务恶意的缓冲溢出行为,一旦检测到就会立即中止该服务。当一个攻击者利用该漏洞发送一系列特别创建报文到WINDOWS 2003
server 的WINS服务时,会导致WINS服务发生缓冲溢出,这样该服务就会被安全功能禁止,需要重新启动服务才能恢复正常。恶意的攻击者也可能发现绕过安全功能利用该漏洞的方法,如果那样的话,攻击者将可以已系统权限执行任意代码。
2、解决方法
微软已经针对这个漏洞发布了相应的安全公告及补丁程序,你可以到我们的网站上下载相应的补丁程序。
更多漏洞及补丁信息请参见http://www.microsoft.com/technet/security/bulletin/MS04-006.asp
1、简要说明
RingZero是一种特洛伊木马,它作为一种隐藏的程序运行,它通过网络连接来发送和接收数据。它有三种版本:Its.exe、Pst.exe、Telnet23.exe,当第一次执行时,它们会拷贝自己到目录\Windows\System下。
2、解决方法