roma572
Full Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору После старта системы (2003 сервер) через некоторое время (несколько минут) появляется сообщение, что мол Remote Procedure Calling (RPC) service terminated unexpectedly и через 60 сек винда перезагружается. Поставил 2000, там такие траблы были с svchost.exe (что-то такое), поставил ХР, там тоже тамое...RPC terminated bla-bla-bla и если в эти 60 сек в сервисах вручную запустить RPC, то комп при выключении зависнет, а если оставить как есть, то перезагрузится нормально. Подскажите, что это может быть и как боротсья? Раньше такого никогда не было. Началось ни с того, ни с сего. Отключение вызвано NT Authority\System Господа! Это вирус! Выглядит так: Цитата: Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM. Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее. При этом на атакованной системе, в зависимости от версии и установленного комплекта заплаток, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe. | О вирусе: http://www.viruslist.com/viruslist.html?id=2709083 Об уязвимости Windows, используемой вирусом (DCOM): http://www.securitylab.ru/?ID=39609 Уязвимости подвержены любые Windows на основе NT (XP, 2000, в т.ч. с сервис паками (в т.ч. SP4), включая 2003) с открытым 135 портом. Цитата: Worm.Win32.Autorooter Является набором Win32 EXE-файлов (компонент). По своей функциональности схож с сетевым Win32-червем: распространяется по локальным или глобальным сетям. Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Ее описание приведено в Microsoft Security Bulletin MS03-026: http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp Основной файл червя является самораспаковывающимся ZIP-архивом (т.е. приложением Win32, которое содержит в себе ZIP-архив и которое извлекает файлы из этого архива при запуске). Размер файла - около 114KB. Содержит в себе 3 файла: rpc.exe - 41KB, главный компонент (загрузчик), детектируется как "Worm.Win32.Autorooter"; tftpd.exe - 144KB, легальный FTP сервер; rpctest.ex - 95KB, вспомогательный компонент, детектируется как "Exploit.Win32.DCom". При запуске SFX-архива он создаёт перечисленные выше файлы и устанавливает их в корневой каталог локального диска C:, после чего запускает файл "rpc.exe", являющийся основной компонентом червя. | Исходный код: http://www.securitylab.ru/?ID=39592 Профилактика: 1. Изменить в реестре по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] параметр "EnableDCOM" с "Y" на "N" 2. Поставить патч от MS. 3. Пойти в сервисы, найти там службу Remote Procedure Call (RPC), правой кнопкой - Properties, закладка Recovery, поставить там везде Take No Action 4. Firewall с закрытыми портами 135, 139, 445, 4444. Качать патчи: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp Или конкретно по ОС: Windows NT Workstation (requires SP6a installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en Windows NT Server 4.0 (requires SP6a installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en Windows NT Server 4.0, Terminal Server Edition (requires SP6 installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en Windows 2000 (requires SP2, SP3, or SP4 installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en Windows XP: http://www.microsoft.com/downloads/details.aspx? FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en Windows XP 64 bit Edition: http://www.microsoft.com/downloads/details.aspx? FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en Windows XP 64 bit Edition Version 2003: http://www.microsoft.com/downloads/details.aspx? FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en Windows Server 2003: http://www.microsoft.com/downloads/details.aspx? FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en Windows Server 2003 64 bit Edition: http://www.microsoft.com/downloads/details.aspx? FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en Обсуждать проблему можно также: Как побороть Windows RPC DCOM Buffer Overflow Remote Exploit , http://forum.ru-board.com/topic.cgi?forum=55&topic=2664#1 и Remote Procedure Call Fail. Изза чего? Еще почитать: http://www.winextreme.org/forum/index.php?showtopic=371 http://www.dev0.ru/viewtopic.php?t=6 http://www.dev0.ru/viewtopic.php?t=2&postdays=0&postorder=asc&start=15 http://www.securitylab.ru/?ID=40158 http://www.securitylab.ru/?ID=40164 http://www.securitylab.ru/?ID=40160 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp http://www.kaspersky.ru/news.html?id=1319733 Лечение: 1. Любым способом, который получится, уничтожить msblast.exe (в том числе потом из автозагрузки его не забыть удалить); 2. поставить патч; 3. просканировать антивирусом. Обзор (карта) форума "В помощь системному администратору" » BugTraq для сисадминов: уязвимости/исправления » Remote Procedure Calling (RPC) service terminated unexpected
Строгое замечание за безобразное неконкретное название темы: "I need help". Исправлно. lynx. | Всего записей: 409 | Зарегистр. 30-03-2002 | Отправлено: 13:28 12-08-2003 | Исправлено: lynx, 19:11 05-11-2003 |
|