十大入侵检测系统高风险事件及其处置对策

　　POP3服务是常见网络邮件收取协议。

　　发现大量的POP3登录失败事件，攻击者可能正在尝试猜测有效的POP3服务用户名和口令，如果成功，攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统，也可能读取用户的邮件，造成敏感信息泄露。

　　[对策]

　　密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

　　事件9 POP3服务接收可疑病毒邮件

　　当前通过邮件传播的病毒、蠕虫日益流行，其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播，常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ，带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

　　邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。

　　此事件表示IDS检测到接收带可疑病毒附件邮件的操作，邮件的接收者很可能会感染某种邮件病毒，需要立即处理。

　　[对策]

　　1、通知隔离检查发送病毒邮件的主机，使用杀毒软件杀除系统上感染的病毒。

　　2、在邮件服务器上安装病毒邮件过滤软件，在用户接收之前就杀除之。

　　事件10 Microsoft Windows LSA服务远程缓冲区溢出攻击

　　Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。

　　LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出，远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。

　　[对策]

　　1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

　　2、打系统补丁、升级。