漏洞问题 RPC服务器安全配制

　　RPC服务器安全配制[已发表在2003年第11期黑客防线]

　　九月十日微软急紧发布了最新的RPC漏洞信息，攻击者只要向远程计算机上的 135 端口发送特殊格式的请求就可以获得对远程计算机的完全控制，这使得攻击者能够对服务器随意执行任何操作，包括更改网页，格式化硬盘或者向本地管理员组中添加新的用户。　　此漏洞将会影响运行  MICROSOFT WINDOWS的用户：

　　Microsoft Windows NT 4.0
　　Microsoft Windows NT 4.0 Terminal Services Edition
　　Microsoft Windows 2000
　　Microsoft Windows XP
　　Microsoft Windows Server 2003

　　(RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF（开放式软件基础）RPC 协议衍生出来的，只是增加了一些 Microsoft 特定的扩展。

　　RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口，此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求（例如通用命名约定 (UNC) 路径）。

　　此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息，则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题，进而使任意代码得以执行。

　　而135端口则成了问题出现的最根本的起源

　　对于服务器而言,我们现在需要做的就是尽可能快的封上你的135端口,以下是一些安全配制方法：

　　A、在防火墙上封堵 135 端口。

　　135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口：

　　135/TCP epmap
　　135/UDP epmap
　　139/TCP netbios-ssn
　　139/UDP netbios-ssn
　　445/TCP microsoft-ds
　　445/UDP microsoft-ds
　　593/TCP http-rpc-epmap
　　593/UDP http-rpc-epmap

　　如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接，则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。

　　方案一：

　　1、关闭病毒攻击的TCP/IP端口

　　a)使用Windows自带的TCP/IP筛选功能

　　打开默认的网络连接属性（方法有右击桌面网络邻居、控制面板网络属性）
　
单击属性，选择常规页的TCP/IP,再单击属性,　单击高级，进入下一页，再选择TCP/IP筛选。然后单击属性，在TCP和UDP端口设置中选择只允许，添加相应的端口，如80用于IE浏览，其它的端口根据应用程序的设定相应修改。最后确定就OK了。

　　方案二：

　　使用金山网镖或者天网防火墙：

　　网镖高级功能可以非常方便的实现封闭和开放端口的功能。

　　单击右下角金山网镖，在弹出的菜单中选择配置选项,然后选择高级页选中使用IP包过滤技术，添加TCP、UDP的135、139、445端口，最新捕获得的“新流言”病毒还要关闭4444端口。

　　提示：在做这一切前请先升级你的反病毒软件和防火墙。