roma572
Full Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
После старта системы (2003 сервер) через некоторое время (несколько минут) появляется сообщение, что мол Remote Procedure Calling (RPC) service terminated unexpectedly и через 60 сек винда перезагружается. Поставил 2000, там такие траблы были с svchost.exe (что-то такое), поставил ХР, там тоже тамое...RPC terminated bla-bla-bla и если в эти 60 сек в сервисах вручную запустить RPC, то комп при выключении зависнет, а если оставить как есть, то перезагрузится нормально.
Подскажите, что это может быть и как боротсья? Раньше такого никогда не было. Началось ни с того, ни с сего.
Отключение вызвано NT Authority\System
Господа! Это вирус!
Выглядит так:
Цитата: Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM.
Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее. При этом на атакованной системе, в зависимости от версии и установленного комплекта заплаток, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe.
|
О вирусе: http://www.viruslist.com/viruslist.html?id=2709083
Об уязвимости Windows, используемой вирусом (DCOM): http://www.securitylab.ru/?ID=39609
Уязвимости подвержены любые Windows на основе NT (XP, 2000, в т.ч. с сервис паками (в т.ч. SP4), включая 2003) с открытым 135 портом.
Цитата:
Worm.Win32.Autorooter
Является набором Win32 EXE-файлов (компонент). По своей функциональности схож с сетевым Win32-червем: распространяется по локальным или глобальным сетям.
Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Ее описание приведено в Microsoft Security Bulletin MS03-026: http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Основной файл червя является самораспаковывающимся ZIP-архивом (т.е. приложением Win32, которое содержит в себе ZIP-архив и которое извлекает файлы из этого архива при запуске). Размер файла - около 114KB.
Содержит в себе 3 файла:
rpc.exe - 41KB, главный компонент (загрузчик), детектируется как "Worm.Win32.Autorooter";
tftpd.exe - 144KB, легальный FTP сервер;
rpctest.ex - 95KB, вспомогательный компонент, детектируется как "Exploit.Win32.DCom".
При запуске SFX-архива он создаёт перечисленные выше файлы и устанавливает их в корневой каталог локального диска C:, после чего запускает файл "rpc.exe", являющийся основной компонентом червя.
|
Исходный код: http://www.securitylab.ru/?ID=39592
Профилактика:
1. Изменить в реестре по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
параметр "EnableDCOM" с "Y" на "N"
2. Поставить патч от MS.
3. Пойти в сервисы, найти там службу Remote Procedure Call (RPC), правой кнопкой - Properties, закладка Recovery, поставить там везде Take No Action
4. Firewall с закрытыми портами 135, 139, 445, 4444.
Качать патчи:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Или конкретно по ОС:
Windows NT Workstation (requires SP6a installed):
http://www.microsoft.com/downloads/details.aspx?
FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en
Windows NT Server 4.0 (requires SP6a installed):
http://www.microsoft.com/downloads/details.aspx?
FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en
Windows NT Server 4.0, Terminal Server Edition (requires SP6
installed):
http://www.microsoft.com/downloads/details.aspx?
FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en
Windows 2000 (requires SP2, SP3, or SP4 installed):
http://www.microsoft.com/downloads/details.aspx?
FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en
Windows XP:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en
Windows XP 64 bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en
Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?
FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en
Обсуждать проблему можно также:
Как побороть Windows RPC DCOM Buffer Overflow Remote Exploit ,
http://forum.ru-board.com/topic.cgi?forum=55&topic=2664#1 и
Remote Procedure Call Fail. Изза чего?
Еще почитать:
http://www.winextreme.org/forum/index.php?showtopic=371
http://www.dev0.ru/viewtopic.php?t=6
http://www.dev0.ru/viewtopic.php?t=2&postdays=0&postorder=asc&start=15
http://www.securitylab.ru/?ID=40158
http://www.securitylab.ru/?ID=40164
http://www.securitylab.ru/?ID=40160
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
http://www.kaspersky.ru/news.html?id=1319733
Лечение:
1. Любым способом, который получится, уничтожить msblast.exe (в том числе потом из автозагрузки его не забыть удалить);
2. поставить патч;
3. просканировать антивирусом.
Обзор (карта) форума "В помощь системному администратору" » BugTraq для сисадминов: уязвимости/исправления » Remote Procedure Calling (RPC) service terminated unexpected
Строгое замечание за безобразное неконкретное название темы: "I need help". Исправлно. lynx. |
Всего записей: 409 | Зарегистр. 30-03-2002 | Отправлено: 13:28 12-08-2003 | Исправлено: lynx, 19:11 05-11-2003 |
|
