Midnight 版 (精华区)
发信人: jujuzhu (重新做人*法语进行时), 信区: Midnight
标 题: [合集]RPC服务中止是什么问题啊?(转载)
发信站: 哈工大紫丁香 (2003年08月13日10:06:35 星期三), 站内信件
────────────────────────────────────────
corn (苞米) 于 2003年08月12日23:22:27 星期二 说道:
提示一分钟后系统将自动关机
是什么原因啊?
────────────────────────────────────────
gebi (吃了好多土豆亚) 于 2003年08月12日23:24:59 星期二 说道:
中毒了,杀吧
今天校园内有大量Windows机器被入侵,并被植入木马,机器中的木马对其他
机器进行入侵
扫描。
如果你的机器因为RPC问题被down机,请立即拔掉网线!
无论您的机器是否有“症状”,请主动检查!
注意():
1、请不要先启动Windows自动更新服务!
2、netstat -a察看机器是否已经开始发包135(epmap)包?
3、利用TCP/IP筛选(网络属性-〉TCP/IP协议-〉属性-〉高级-〉选项)将TCP默认全开放
撤销;
4、如果有,察看机器当前正在运行的进程是否有msblast.exe。如果有,停掉!
5、检查注册表,搜索msblast字符,将WindowsAutoUpdate的数值由mblast.exe修改为0.(
其中msblast.exe在HKMachine->Microsoft->Windows->CurrentVersion->Run)
6、删除c:\windows\system32\msblast.exe,然后清空垃圾箱!
有问题,请打电话86414659查询!
【 在 corn ( 苞米) 的大作中提到: 】
:
: 提示一分钟后系统将自动关机
: 是什么原因啊?
────────────────────────────────────────
corn (苞米) 于 2003年08月12日23:29:32 星期二 说道:
多谢阿。
注册表怎么改的?
【 在 gebi (吃了好多土豆亚) 的大作中提到: 】
: 中毒了,杀吧
: 今天校园内有大量Windows机器被入侵,并被植入木马,机器中的木马对其他
: 机器进行入侵
: 扫描。
: 如果你的机器因为RPC问题被down机,请立即拔掉网线!
: 无论您的机器是否有“症状”,请主动检查!
────────────────────────────────────────
gebi (吃了好多土豆亚) 于 2003年08月12日23:34:21 星期二 说道:
────────────────────────────────────────
redflag (红旗) 于 2003年08月12日14:19:47 星期二 说道:
哈工大——安天联合Cert小组已经制作了该蠕虫的专杀工具,下载链接为
http://www.antiy.com/cert/killblaster.exe
【 在 corn (苞米) 的大作中提到: 】
: 多谢阿。
: 注册表怎么改的?
: 【 在 gebi (吃了好多土豆亚) 的大作中提到: 】
: : 中毒了,杀吧
: : 今天校园内有大量Windows机器被入侵,并被植入木马,机器中的木马对其他
: : 机器进行入侵
: : 扫描。
: : 如果你的机器因为RPC问题被down机,请立即拔掉网线!
: : 无论您的机器是否有“症状”,请主动检查!
────────────────────────────────────────
wsy (红辣椒,绿辣椒,黄辣椒) 于 2003年08月13日00:11:02 星期三 说道:
regedit
【 在 corn (苞米) 的大作中提到: 】
: 多谢阿。
: 注册表怎么改的?
: 【 在 gebi (吃了好多土豆亚) 的大作中提到: 】
: : 中毒了,杀吧
: : 今天校园内有大量Windows机器被入侵,并被植入木马,机器中的木马对其他
: : 机器进行入侵
: : 扫描。
: : 如果你的机器因为RPC问题被down机,请立即拔掉网线!
: : 无论您的机器是否有“症状”,请主动检查!
────────────────────────────────────────
corn (苞米) 于 2003年08月13日00:16:22 星期三 说道:
是不大明白这句:
将WindowsAutoUpdate的数值由mblast.exe修改为0.(
改成什么了?不过幸好有补丁下:-)
【 在 wsy (红辣椒,绿辣椒,黄辣椒) 的大作中提到: 】
: regedit
: 【 在 corn (苞米) 的大作中提到: 】
: : 多谢阿。
: : 注册表怎么改的?
────────────────────────────────────────
wsy (红辣椒,绿辣椒,黄辣椒) 于 2003年08月13日00:20:28 星期三 说道:
原先的值室mblast...
把他改成0
【 在 corn (苞米) 的大作中提到: 】
: 是不大明白这句:
: 将WindowsAutoUpdate的数值由mblast.exe修改为0.(
: 改成什么了?不过幸好有补丁下:-)
: 【 在 wsy (红辣椒,绿辣椒,黄辣椒) 的大作中提到: 】
: : regedit
────────────────────────────────────────
xplbayan (zero) 于 [警告]微软RPC漏洞太大 快打补丁免除自动关机侵扰
[警告]微软RPC漏洞太大 快打补丁免除自动关机侵扰
最近两天,全球越来越多使用NT/2000/xp/2003的用户发现其机器经常出现自动重启的现
象。具体表现为屏幕中央突然出现一个无法关闭的“windows即将关闭”提示窗口,具体提
示为“由于RPC服务意外被终止,此服务是系统关键服务,windows即将关机。所有未保存
的工作将丢失。”然后机器在倒数60秒后自动重新启动。
出现这种情况的根本原因是所有以NT技术为内核的操作系统(包括NT/2000/xp 32bit,64
bit/Server 2003 32bit,64bit)的RPC都存在一个严重的漏洞。攻击者只要通过向这些计
算机的特定端口发送格式错误的RPC数据包,就会引起被攻击计算机的RPC服务崩溃并强迫
用户重新启动计算机。
目前,已经有越来越多的病毒和蠕虫开始利用微软的这个漏洞。早在近一个月前微软就发
现了这个漏洞并发布了补丁,但是仍然有大量用户对此漏洞的危害性认识不够。最近两天
,国内外大量用户纷纷受到利用这个漏洞的蠕虫程序的严重影响,个人用户轻则无法正常
使用计算机,重则导致windows服务器系统随意重启、导致网络瘫痪。在此我把我个人遇到
这个问题的解决经验与大家分享,希望您能对这个问题给予足够重视,赶快采取相应措施
!
如果您遇到自动关机提示框...
1.在自动重启前,立刻在“开始-运行”中输入命令"shutdown.exe -a"(不包括引号)
,强行禁止自动关机。
2.立刻去微软网站下载对应操作系统版本的补丁,安装后重启。您可以使用WindowsUpda
te功能,下载补丁号为823980的关键更新。
3.去反病毒厂商网站下载此类蠕虫病毒专杀程序,删除在本地硬盘上的病毒残体。
3.如果您暂时不能下载到补丁程序,请采取如下措施做临时防护:
a.请在网络防火墙中屏蔽“135 139 445”三个端口,来防止病毒的攻击
b.进入“控制面板-管理工具-服务-Remote Procedure Call (RPC)”的属性-恢
复 中,将其下所有选择框中的服务失败反应选择为“重新启动服务”,这样可以避免服务
崩溃后重启计算机。
微软公司发布关于RPC 接口中
远程任意可执行代码漏洞(823980)通告
国家计算机病毒应急处理中心根据微软公司发布的通告,即关于RPC 接口中远程任意可执
行代码漏洞(823980),向计算机用户发出预警。如果成功利用此漏洞,攻击者就有可能
获得对远程计算机的完全控制,并以本地系统权限执行任意指令。攻击者可以在系统上执
行任意操作,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权
限的帐户。
Microsoft RPC接口远程任意代码可执行漏洞受影响的软件:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP Microsoft Windows Server 2003
漏洞描述
RPC(Remote Procedure Call)是 Windows 操作系统使用的一个远程过程调用协议。RP
C 提供了一种进程间的通信机制,通过这一机制,允许在某台计算机上运行的程序顺畅地
在远程系统上执行代码。协议本身源自OSF(开放式软件基础)RPC 协议,但增加了一些
Microsoft 特定的扩展 。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正
确的消息造成的。这种特定的漏洞影响DCOM (分布式组件对象模型) 与 RPC 间的一个接
口,该接口侦听TCP/IP 端口135,用于处理由客户端机器发送给服务器的DCOM对象激活请
求(如UNC路径)。
该漏洞实际上是一个缓冲区溢出漏洞,成功利用此漏洞的攻击者有可能获得对远程计算机
的完全控制,可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如
安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。
在利用该漏洞时,攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目
标计算机受制于人,攻击者可以在它上面执行任意代码。
不同于以往发现的安全漏洞,该漏洞不仅影响作为服务器的Windows系统,同样也会影响
个人电脑,所以潜在的受害者数量非常多。
DCOM (分布式对象模型)
分布式对象模型(DCOM))是一种能够使软件组件通过网络直接进行通信的协议。DCOM
以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传
输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/
dcom.asp
RPC(远程过程调用)
远程过程调用(RPC)是一种协议,程序可使用这种协议向网络中的另一台计算机上的程
序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高
了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器
。
防范措施:
下载安装相应的补丁程序:
Microsoft已经为此发布了一个安全公告(MS03-026)以及相应补丁,请尽快下载安装。
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
您也可以到我们的网站上下载相关的安全补丁:
winnt
win2000
winxp
win2003
在防火墙上封堵 不必要的端口
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封
堵 135 端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM
函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap
有关为客户端和服务器保护 RPC 的详细信息,请访问:
http://msdn.microsoft.com/library/default.asp?url=
/library/en-us/rpc/rpc/
writing_a_secure_rpc_client_or_server.asp
有关 RPC 使用的端口的详细信息,请访问:
http://www.microsoft.com/technet/prodtechnol/
windows2000serv/reskit/tcpip/part4/tcpappc.asp
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe。
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机
”。
输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则
,请单击“确定”以应用更改并退出
Dcomcnfg.exe。
病毒解决办法
问题:winXP不断报“RPC意外中止,系统重新启动”,win2000报svchost.exe出错
该问题是目前出现的win32.blaster.worm病毒针对微软的RPC漏洞进行攻击,在8月11日全
球首次发现,symantec已更新病毒库可以查杀该病毒,没有安装norton杀毒软件的用户也
可以在本页下面使用trendmicro公司的杀毒工具查杀病毒。此问题和新版客户端升级没有
任何关系。
目前已经报告win98、winME发现同类问题,但是没有相关的patch,因此请相关用户先尝
试杀毒,如果不成功,建议升级到win2000以上的操作系统,或最近暂停使用。
故障原因:w32.blaster.worm病毒专门攻击Win xp、Win 2000、Win NT和Win 2003的RPC
安全漏洞。
故障现象:操作系统不断报“PRC意外中止,系统重新启动”,客户机频繁重启,所有网
络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。
解决方法:
1、先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32
文件夹下的msblast.exe 删除(有可能无法删除,则直接执行第2步)。
2、点击开始--〉设置——〉控制面板——〉管理工具——〉服务
然后选择remote procedure call(RPC).并双击它(如图一)
选中Remote Procedure Call(RPC)服务,并将第一次失败、第二次失败、第三次失败的选
项选择为不操作(XP下默认为重启计算机)。
3、下载本页下面的RPC漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win
2000 ServicePack2以上版本,请到下面网址下载:
http://www.microsoft.com/china/windows2000/sp2.htm
注意:可能个别盗版win XP系统不能正常打上补丁,win2000操作系统必须升级SP2以上版
本才可安装补丁
微软的操作系统RPC漏洞补丁:
====================================================
中文2000补丁下载
中文XP补丁下载
中文2003补丁下载
====================================================
4、安装norton杀毒软件,升级norton最新的8月11日病毒库进行杀毒。
使用norton的用户请从下面下载最新的病毒库
===================================================
诺顿最新病毒库下载
===================================================
其他的用户可以从下面下载trendmicro公司于8月12日提供的杀毒工具,自解压后运行:
===================================================
trendmicro杀毒工具
下载
===================================================
微软网站关于该问题的说明
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
中国病毒响应中心关于RPC的说明
详细描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议
提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行
代码。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理
员
权限的帐户等。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.
影响系统:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003
风险:高
危害描述:
远程进入系统执行任意代码
【 在 corn 的大作中提到: 】
: 提示一分钟后系统将自动关机
: 是什么原因啊?
────────────────────────────────────────
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:210.081毫秒