|
Masala chop etilishidan bir necha kun oldin Metasploit sotib oldi
biz sizga aytib bera olmaydigan yangi modul. Rahmat
yangi getsystem buyrug'i, buzilgan tizimda endi borish mumkin
Foydalanuvchi darajasidan ring0 ga qadar NT AUTHORITY\SYSTEM huquqlarini qo'lga kiriting! Va bu - har qanday holatda
Windows versiyalari.
2010-yil 19-yanvarda 0 kunlik zaiflik ommaga oshkor bo‘ldi, bu esa imkon berdi
NT 3.1 dan boshlab Windows-ning istalgan versiyasida imtiyozlarni oshirish
1993 yilda va yangi "etti" bilan tugaydi. Tavis xakeri tomonidan exploit-db.com saytida
Ormandy KiTrap0d ekspluatatsiyasi manbalarini ham, tuzilgan versiyasini ham nashr etdi
ikkilik, foydalanishga tayyor. Har kim original ekspluatatsiyani sinab ko'rishi mumkin
tayyor. Buning uchun vdmexploit.dll va vdmallowed.exe fayllarini arxivdan chiqarib olishingiz kifoya,
qandaydir tarzda uni jabrlanuvchi mashinasiga o'tkazing va u erda exe faylini ishga tushiring. IN
natija, qaysi foydalanuvchi hisobidan qat'i nazar
ishga tushirilganda, tizim foydalanuvchisi imtiyozlari, ya'ni NT bilan konsol paydo bo'ladi
AVTORITA\TIZIM. Tekshirish uchun siz Sploit-ni kompyuteringizda ishga tushirishingiz mumkin,
avval tizimga oddiy foydalanuvchi sifatida kirgan. Ishga tushgandan keyin
Sploit maksimal imtiyozlarga ega yangi cmd.exe oynasini ochadi. Bu nima beradi? Bir ekspluatatsiya ba'zi ilovalar orqali o'tib ketgan vaziyatni tasavvur qiling va
qobiq oladi masofaviy kompyuter. Bu Internet uchun yig'ilish nuqtasi bo'lsin
Explorer - bu holda, tajovuzkor tizimga huquqlarga ega bo'ladi
hisob qaydnomasi ostida brauzer ishga tushirilgan foydalanuvchi. Men juda bahslashmayman
ko'pincha bu administrator huquqlariga ega hisob bo'ladi (foydalanuvchi aybdor), lekin
Agar yo "q bo" lsa? Bu erda siz imtiyozlaringizni oshirish uchun KiTrap0d dan foydalanishingiz mumkin
NT AUTHORITY\SYSTEMga! Bundan tashqari, hatto guruh a'zolari bo'lgan foydalanuvchilar ham
administrator tizimning ayrim sohalariga kira olmaydi, masalan,
foydalanuvchi paroli xeshlarini o'qish (quyida bu haqda batafsilroq). Va NT tizimi hisobi -
Balki! Bularning barchasi bilan, maqola chop etilganda, bitta yamoq yo'q edi
Microsoft zaiflik uchun tuzatishni chiqarmadi.
Operatsion tizimni egallash
Biz asl ekspluatatsiyani amalda ko'rsatmaymiz, chunki 25
Yanvar oyida Metasploit-ga yangi skript qo'shildi, buning yordamida siz foydalanishingiz mumkin
KiTrap0d yanada qulayroq bo'ldi. Dastlab modul ma'lumotlar bazalariga kiritilgan variant edi
beqaror va har doim ham ishlamadi, lekin barcha xatolar paydo bo'lishidan oldin yarim kun ham o'tmadi
bartaraf etildi. Endi modul boshqa barcha yangilanishlar bilan birga yuklab olindi,
shuning uchun o'rnatish uchun "Metasploit update" menyu bandini tanlash kifoya.
Endi masofaviy tizimga kirish imkoniga ega bo'lgan holda, siz "run kitrap0d" ni yozib, olib kelishingiz mumkin
harakatga kirishadi. “Ammo shunday ichkilikbozlik bor ekan, keling, bu masalani amalga oshiraylik
maxsus jamoa, - deb o'yladi Metasploit dasturchilari.Natijada
Bu orqali kirish mumkin bo'lgan ajoyib "imtiyozlarni oshirish" buyrug'i
meterpreter kengaytmasi - bizga juda yoqadi :).
Shunday qilib, biz masofaviy tizimga kirish imkoniga egamiz (tasviriy misol
operatsiya "Aurora operatsiyasi" maqolasida keltirilgan) va biz konsoldamiz
metasploit. Keling, huquqlar bilan qanday ishlayotganimizni ko'rib chiqaylik:
meterpreter > getuid
Ha, muntazam foydalanuvchi. Ehtimol, u hatto guruhning bir qismidir
administratorlar, lekin bu biz uchun muhim emas. Biz u amalga oshirilgan modulni ulaymiz
Bizni qiziqtirgan getsystem buyrug'i va uni ko'rsatish orqali yuklanganligini tekshiring
yordam ekrani:
meterpreter > priv dan foydalaning
Priv kengaytmasi yuklanmoqda... muvaffaqiyatli.
meterpreter > getsystem -h
Foydalanish: getsystem
Imtiyozingizni mahalliy tizimga oshirishga harakat qiling.
Variantlar:
H yordam banneri.
-t Foydalanish texnikasi. (Birlamchi “0”).
0: Barcha texnikalar mavjud
1: Xizmat - Nomlangan quvur taqlid qilish (Xotirada/Administrator)
2: Xizmat - Quvur nomiga taqlid qilish (tomizgich/Administrator)
3: Xizmat - Tokenlarni takrorlash (Xotirada/Admin)
4: Exploit - KiTrap0D (xotirada/foydalanuvchida)
Ko'rib turganingizdek, KiTrap0D birlashmasi buyruq funksiyasining faqat bir qismini amalga oshiradi.
Agar siz allaqachon huquqlarga ega bo'lgan foydalanuvchi bilan qobiqni olishga muvaffaq bo'lsangiz
administrator, keyin NT AUTHORITY\SYSTEM darajasiga ko'tarish uchun foydalanishingiz mumkin
uchta boshqa texnika (-t tugmasi sizga kerakli birini tanlash imkonini beradi). Qanday bo'lmasin, aniqlik kiritmasdan
hech qanday parametr yo'q, biz metasploit nimadan foydalanishi mumkinligini aytib beramiz
har qanday yondashuv. Shu jumladan KiTrap0D, bu bizning imtiyozlarimizni darajaga oshiradi
"Tizim", biz hozir qanday huquqlarga ega bo'lishimizdan qat'iy nazar.
meterpreter > getsystem
... tizimi bor (4-texnika orqali).
Ha, biz imtiyozlar muvaffaqiyatli ko'tarilganligi va hujum haqida xabar oldik
Bu KiTrap0D ishlatilgan - aftidan, u ustuvor ahamiyatga ega. Biz haqiqatan ham
tizimda gul bormi? Keling, joriy UID (foydalanuvchi identifikatori) ni tekshiramiz:
meterpreter > getuid
Yemoq! Metasploit konsolida faqat bitta buyruq va NT AUTHORITY\SYSTEM huquqlari
bizni cho'ntagingizda. Bundan tashqari, umuman olganda, hamma narsa mumkin. Sizga eslatib qo'yay, bittasini emas
Jurnal chop etilgan paytda Microsoft tomonidan hech qanday yamoq yo'q edi.
Parollarni o'chirish
Chunki siz allaqachon kirish huquqiga egasiz tizim hisobi, keyin biz bundan chiqarib olishimiz kerak
foydali narsa. Metasploit ajoyib hashdump buyrug'iga ega -
taniqli pwdump yordam dasturining yanada rivojlangan versiyasi. Bundan tashqari, oxirgi marta
metasploit versiyasi foydalanadigan skriptning qayta ko'rib chiqilgan versiyasini o'z ichiga oladi
LANMAN/NTLM xeshlarini chiqarish uchun modernizatsiya qilingan printsip va hali aniqlanmagan
antiviruslar. Lekin gap bu emas. Hashdump buyrug'ini bajarish muhimdir
NT AUTHORITY\SYSTEM huquqlari talab qilinadi. Aks holda dastur xato qiladi
"[-] priv_passwd_get_sam_hashes: Amaliyot muvaffaqiyatsiz tugadi: 87". Bu sodir bo'ladi, chunki
foydalanuvchi parollarining LANMAN/NTLM xeshlari maxsus ro'yxatga olish bo'limlarida saqlanadi
Hatto kirish imkoni bo'lmagan HKEY_LOCAL_MACHINE\SAM va HKEY_LOCAL_MACHINE\SECURITY
ma'murlar. Ular faqat tizim hisobi imtiyozlari bilan o'qilishi mumkin.
Umuman olganda, exploit va keyin hashdump buyrug'idan foydalaning
registrdan xeshni mahalliy ravishda chiqarish umuman kerak emas. Ammo agar shunday bo'lsa
Imkoniyat bor, nega yo'q?
meterpreter > getuid
Server foydalanuvchi nomi: NT AUTHORITY\SYSTEM
meterpreter > hashdump-ni ishga tushiring
[*] Yuklash kaliti olinmoqda...
[*] SYSKEY 3ed7 yordamida hboot kalitini hisoblash[...]
[*] Foydalanuvchilar roʻyxati va kalitlar olinmoqda...
[*] Foydalanuvchi kalitlari shifrlanmoqda...
[*] Parol xeshlarini tashlash...
Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Mehmon:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Xeshlar qabul qilindi. Qolgan narsa ularni qo'pol kuchlardan biriga boqishdir, masalan,
l0phtcrack.
Qanday qilib imtiyozlarimni qaytarib olishim mumkin?
Men huquqlarni normal holatga keltirmoqchi bo'lganimda kulgili holat yuz berdi
foydalanuvchi orqaga. Men topgan rev2self buyrug'i ishlamadi va men hali ham
"NT AUTHORITY\SYSTEM" qoldi: aftidan, u uchtasi bilan ishlashga mo'ljallangan
getsystemda amalga oshirilgan boshqa yondashuvlar. Qaytganligi ma'lum bo'ldi
imtiyozlar uchun siz jarayon tokenini "o'g'irlashingiz" kerak, ishlaydigan mavzular foydalanuvchi,
bizga kerak bo'lgan. Shuning uchun biz barcha jarayonlarni ps buyrug'i bilan ko'rsatamiz va ulardan tanlaymiz
mos:
meterpreter > ps
Jarayon ro'yxati
============
PID nomi Arch foydalanuvchi yo'li
--- ---- ---- ---- ----
0
4 Tizim x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...
Ko'rib turganimizdek, explorer.exe oddiy foydalanuvchi ostida ishga tushiriladi
hisob va PID=1560 ga ega. Endi, aslida, foydalanib, siz "tokenni o'g'irlashingiz" mumkin
steal_token buyrug'i. PID unga yagona parametr sifatida uzatiladi
zarur jarayon:
meterpreter > steal_token 1558
Foydalanuvchi nomi bilan o'g'irlangan token: WINXPSP3\user
meterpreter > getuid
Server foydalanuvchi nomi: WINXPSP3\user
"Server foydalanuvchi nomi" maydoniga ko'ra, operatsiya muvaffaqiyatli bo'ldi.
U qanday ishlaydi?
Nihoyat, paydo bo'lishiga olib kelgan zaiflikning tabiati haqida gapirishga arziydi
Sploit. Xavfsizlikning buzilishi tizim protsessoridagi xatolik tufayli yuzaga keladi
#GP uzilishlari (bu nt!KiTrap deb ataladi). Chunki yadro imtiyozlari bilan
ixtiyoriy kod bajarilishi mumkin. Bu tizim tufayli sodir bo'ladi
32-bitli x86 platformasida ba'zi BIOS qo'ng'iroqlarini noto'g'ri tekshiradi
16 bitli dastur ishlamoqda. Zaiflikdan foydalanish uchun ekspluatatsiya yaratadi
16-bitli dastur (%windir%\twunk_16.exe), ba'zilarini manipulyatsiya qiladi
tizim tuzilmalarini yaratadi va ishga tushirish uchun NtVdmControl() funksiyasini chaqiradi
Windows Virtual DOS mashinasi (aka NTVDM quyi tizimi), bu avvalgisining natijasidir
manipulyatsiya #GP tizimi uzilish ishlovchisini chaqirishga olib keladi va
ekspluatatsiya ishga tushirilganda. Aytgancha, bu yagona cheklovga olib keladi
faqat 32-bitli tizimlarda ishlaydigan ekspluatatsiya. 64-bitda
Operatsion tizimlarda oddiygina 16-bitli ilovalarni ishga tushirish uchun emulyator mavjud emas.
Nima uchun tayyor ekspluatatsiyaga ega ma'lumotlar ommaga ochiq bo'ldi? Mavjudligi haqida
Ekspluit muallifi Microsoft korporatsiyasini zaiflik haqida o'tgan yilning boshida ma'lum qilgan va
hatto uning hisoboti ko'rib chiqish uchun qabul qilinganligi haqidagi tasdiqni ham oldi. Faqat savat
va hozir u erda. Bir yilda rasmiy patch kompaniyadan hech qanday javob bo'lmadi va muallif qaror qildi
ishlar tezroq ketishiga umid qilib, ma'lumotni ommaga e'lon qiling. Ko'raylikchi,
jurnal sotuvga chiqqach, yamoq mavjud bo'ladimi :)?
O'zingizni ekspluatatsiyalardan qanday himoya qilish kerak
Zaiflikni hal qilish uchun hali to'liq yangilanish mavjud emasligi sababli,
vaqtinchalik echimlardan foydalanishingiz kerak bo'ladi. Eng ishonchli variant
MSDOS va WOWEXEC quyi tizimlarini o'chirib qo'ying, bu darhol ekspluatatsiyadan mahrum bo'ladi
funksionallik, chunki u endi NtVdmControl() funksiyasini chaqira olmaydi
NTVDM tizimini ishga tushirish uchun. Windowsning eski versiyalarida bu orqali amalga oshiriladi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW filialini topishingiz kerak bo'lgan ro'yxatga olish kitobi
va uning nomiga qandaydir belgi qo'shing. Zamonaviy OS uchun
orqali 16-bitli ilovalarni ishga tushirishga cheklov o'rnatishingiz kerak
guruh siyosati. Buning uchun GPEDIT.MSC ga qo'ng'iroq qiling, so'ngra bo'limga o'ting
"Foydalanuvchi konfiguratsiyasi/Ma'muriy shablonlar/Windows komponentlari/Moslik
ilovalar" va "16-bitga kirishni taqiqlash" opsiyasini faollashtiring
ilovalar".
WWW
Ekspluatatsiya muallifidan zaiflik tavsifi:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Microsoft-dan vaqtinchalik yechim:
http://support.microsoft.com/kb/979682
OGOHLANTIRISH
Ma'lumotlar ta'lim maqsadlarida taqdim etiladi. Uni ishlatish
noqonuniy maqsadlarda jinoiy javobgarlikka olib kelishi mumkin.
O'rnatilgan loginlar SQL Server 2005, BUILTIN\Administratorlar, , NT AUTORITY\SYSTEM, sa
SQL Server 2005 ni konteynerga o'rnatgandan so'ng darhol Kirish avtomatik ravishda yaratilgan loginlar to'plami paydo bo'ladi. Katta ehtimol bilan siz ulardan foydalanuvchilarni ulash uchun foydalanmaysiz. Biroq, o'rnatilgan loginlarni bilish foydali bo'lishi mumkin bo'lgan holatlar mavjud (masalan, sizning ma'muriy loginingiz tasodifan bloklangan bo'lsa).
q BUILTIN\Administratorlar
(yoki BUILTIN\Administratorlar, operatsion tizim tiliga qarab) - ushbu Windows guruhi uchun login avtomatik ravishda huquqlarga ega bo'ladi tizim administratori SQL Server E'tibor bering, agar kompyuter domenning bir qismi bo'lsa, guruh avtomatik ravishda ushbu guruhga kiradi DomenAdminlar(Domen ma'murlari) va shuning uchun sukut bo'yicha domen administratorlari mavjud to'liq huquqlar SQL Serverda. Agar bu holat istalmagan bo'lsa, unda ushbu login o'chirilishi mumkin. Ammo bu holatda ham domen ma'murlari uchun SQL Server ma'lumotlariga kirish oson bo'ladi.
q Server_nomi
2005MSFTEUser$ Server_nomi$Instance_name
, Server_nomi
2005MSSQLUser$ Server_nomi$Instance_name
,Server_nomi
2005SQLAgentUser$ Server_nomi$Instance_name
- bu uchta login uchun Windows guruhlari tegishli xizmatlarni SQL Server 2005 ga ulash uchun ishlatiladi. SQL Server 2005 darajasida ular bilan hech qanday operatsiyalarni bajarishning hojati yo'q, chunki barcha kerakli huquqlar allaqachon berilgan. Kamdan kam hollarda, Windows darajasida ushbu guruhlarga SQL Server xizmatlarini ishlatadigan hisoblarni qo'shishingiz kerak bo'lishi mumkin.
q NT AUTORITY\NETWORK XIZMATI
- buning nomidan hisob Windows Server 2003 ASP .NET ilovalarini, shu jumladan Reporting Services (Windows 2000 da ASPNET). Ushbu Windows logini SQL Server Reporting Services-ga ulanish uchun ishlatiladi. Unga ma'lumotlar bazalariga avtomatik ravishda zarur huquqlar beriladi master, msdb va Reporting Services tomonidan foydalaniladigan ma'lumotlar bazalariga.
q NT AUTORITY\SYSTEM
operatsion tizimning mahalliy tizim hisobidir. Ushbu login o'rnatish vaqtida siz SQL Server xizmatini mahalliy tizim hisobi ostida ishlash uchun sozlagan bo'lsangiz paydo bo'ladi. Aytishimiz mumkinki, ushbu login bilan SQL Server o'ziga kirishi mumkin. Albatta, ushbu login SQL Server tizim administratori huquqlariga ega.
q sa
(dan TizimAdministrator) sukut bo'yicha yaratilgan yagona SQL Server tipidagi logindir. U SQL Server tizim administratori huquqlariga ega va bu huquqlarni undan tortib olish mumkin emas. Bu loginni ham oʻchira olmaysiz. Ammo uning nomini o'zgartirish yoki o'chirish mumkin. Agar SQL Server 2005 faqat autentifikatsiya qilish uchun tuzilgan bo'lsa Windows yordamida, keyin serverga ulanish uchun ushbu logindan foydalana olmaysiz.
Vazifa menejerida uning foydalanuvchisi administrator emasligini ko'rish uchun dasturni faqat "Administrator sifatida ishga tushirish" kerak va bu mo''jizaga SIDni almashtirish orqali emas, balki kirish tokenini o'zgartirish orqali erishiladi.
Ikkinchidan, NT-AUTHORITY va SYSTEM Boshqa manbalar (hatto Microsoft ichida ham) aytganlariga qaramay, na hisoblar, na guruhlar. SID odatda kerak bo'lganda ko'rsatiladigan nomga ega. Foydalanuvchi hisobi o'zining SID-ni asosiy SID sifatida kirish tokeniga qo'shadi, bu esa turli yordamchi dasturlar tomonidan ko'rsatiladigan nomni ham aniqlaydi. Ammo kirish tokeni qo'shimcha SID-larni o'z ichiga olishi mumkin, masalan, ushbu foydalanuvchi hisobiga tegishli bo'lgan barcha guruhlar uchun. Ruxsatlarni tekshirishda Windows kirish tokenida ushbu ruxsatga ega bo'lgan har qanday SIDni qidiradi.
Ba'zi taniqli Windows SIDlarida Windows tomonidan xabar qilingan nomlar bo'ladi, garchi ular hech qanday hisobga tegishli bo'lmasa ham.
LocalSystem hisobi - bu xizmatni boshqarish menejeri tomonidan ishlatiladigan oldindan belgilangan mahalliy hisob. [...] Uning tokeni NT AUTHORITY\SYSTEM va BUILTIN\Administrators SID-larini o'z ichiga oladi; bu hisoblar ko'pgina tizim ob'ektlariga kirish huquqiga ega.
Yuqoridagi matnda hatto Microsoft hujjatlarida ham tizimning SID-lari bilan bog'liq tartibsizlikni allaqachon ko'rish mumkin. emas aniq hisoblar yoki guruhlar - bu faqat ruxsatlar to'plami. Bu chalkashlik boshqa yordamchi dasturlar va maqolalarga ham taalluqlidir, shuning uchun qaytarilgan har qanday ma'lumotni diqqat bilan tekshirish kerak.
Microsoft maqolasida Windows operatsion tizimlarida taniqli xavfsizlik identifikatorlari barcha tizim SIDlari haqida batafsil ma'lumot beradi, ulardan ba'zilarini quyida keltiraman:
Xulosa: NT-AUTHORITY\SYSTEM - bu guruh ham, hisob ham bo'lmagan xavfsizlik identifikatorining nomi. Agar u dasturning asosiy SID bo'lsa, u Vazifa menejerida TIZIM sifatida ko'rsatiladi. Men buni eng ko'p "soxta hisob" deb atagan bo'lardim.
DIQQAT!!! DIQQAT!!! DIQQAT!!!
XAVFLI CHURT!!!Alomatlar: Tarmoqda ishlayotganingizda, ma'lumotlarni saqlaydigan barcha dasturlarni to'xtatish zarurligi haqida xabar paydo bo'ladi, chunki ... 60 soniyadan keyin. qayta ishga tushirish sodir bo'ladi. Tashxis: Tarmoq qurti w32.Blaster.worm. Chuvalchang 16-iyulda RPC DCOM xizmatida topilgan zaiflikdan foydalanadi, bu barcha tarmoqlarda mavjud operatsion tizimlar Windows oilalari 2000, Windows XP va Windows 2003. Bu zaiflik hujum qilingan kompyuterning 135, 139 yoki 445 portiga to'g'ri ishlab chiqilgan TCP/IP paketi sabab bo'lgan bufer to'lib ketishidir. Bu, hech bo'lmaganda, DoS hujumini amalga oshirishga imkon beradi (DoS "Xizmat ko'rsatishni rad etish" yoki "xizmat ko'rsatishni rad etish" degan ma'noni anglatadi; bu holda, hujum qilingan kompyuter qayta ishga tushiriladi) va maksimal darajada har qanday kodni bajarishga imkon beradi. hujum qilingan kompyuter xotirasida. Yangi qurt tarqalgach, u 135-portga hujum qiladi va agar muvaffaqiyatli bo'lsa, TFTP.exe dasturini ishga tushiradi, shu orqali u o'zining bajariladigan faylini hujum qilingan kompyuterga yuklab oladi. Bunday holda, foydalanuvchiga RPC xizmatini to'xtatish va keyin qayta ishga tushirish haqida xabar beriladi. Qayta ishga tushirilgandan so'ng, qurt avtomatik ravishda ishga tushadi va ochiq port 135 bo'lgan kompyuterlar uchun kompyuterdan kirish mumkin bo'lgan tarmoqlarni skanerlashni boshlaydi. Agar ular aniqlansa, qurt hujumga o'tadi va hamma narsa yana takrorlanadi. Bundan tashqari, hozirgi vaqtda tarqalish tezligiga qarab, qurt tez orada antivirus kompaniyalari ro'yxatida birinchi o'rinni egallaydi. Dori: O'zingizni qurtdan himoya qilishning uchta usuli mavjud. Birinchidan, Microsoft byulleteni barcha zararlanganlar uchun yamoqlarga havolalar beradi Windows versiyalari, RPC bo'shlig'ini yopish (bu yamalar 16 iyulda chiqarilgan, shuning uchun tizimni muntazam yangilaydiganlar xavotirlanmasligi kerak). Ikkinchidan, agar 135-port xavfsizlik devori tomonidan yopilgan bo'lsa, qurt kompyuterga kira olmaydi. Uchinchidan, DCOM-ni o'chirib qo'yish oxirgi chora sifatida yordam beradi (bu protsedura Microsoft byulletenida batafsil tavsiflangan). Shunday qilib, agar siz hali qurt tomonidan hujumga uchramagan bo'lsangiz, Microsoft serveridan operatsion tizimingiz uchun yamoqni iloji boricha tezroq yuklab olish tavsiya etiladi (masalan, xizmatlardan foydalaning. Windows yangilash) yoki xavfsizlik devoridagi 135, 139 va 445 portlarni bloklashni sozlang. Agar sizning kompyuteringiz allaqachon zararlangan bo'lsa (va haqida xabar RPC xatosi aniq u infektsiyalanganligini anglatadi), keyin siz DCOM-ni o'chirib qo'yishingiz kerak (aks holda har bir keyingi hujum qayta ishga tushirishga olib keladi), so'ngra yamoqni yuklab oling va o'rnating. Qurtni yo'q qilish uchun siz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ro'yxatga olish kitobi kalitidan "windows auto update"="msblast.exe" yozuvini olib tashlashingiz kerak, so'ngra msblast.exe faylini toping va o'chiring - bu qurtning tanasi. Siz Symantec veb-saytida qurtlarni olib tashlash tartibi haqida ko'proq o'qishingiz mumkin. Ayni paytda barcha antiviruslar qurtni aniqlay olmaydi, siz faqat yangilanishlar chiqarilgandan so'ng ulardan himoyalanishga umid qilishingiz mumkin. Agar siz hali bunday xabarni olmagan bo'lsangiz, Bill amakidan yamoqlarni yuklab oling: Bu yerda NT 4.0 va 2000, 2003 Server uchun tibbiyotga havolalar mavjud
NT AUTORITY/TIZIM XATOSI,
XP xabari - virusni qanday olib tashlash mumkin
Agar sizda ruscha versiya bo'lsa, yuklab olishdan oldin tilni o'zgartirishni unutmang. Virusning o'zi haqida bir oz:
Kecha kechqurun, Moskva vaqti bilan taxminan 23:00 dan so'ng, ko'plab forumlarda Windows 2000 va Windows XP ning tarmoqqa kirishda g'alati xatti-harakatlari haqida xabarlar paydo bo'la boshladi: tizim RPC xizmati xatosi va qayta ishga tushirish zarurligi haqida xabarni ko'rsatdi. Qayta ishga tushirilgandan so'ng, xabar ko'pi bilan bir necha daqiqadan so'ng takrorlandi va uning oxiri yo'q edi. Tekshiruv shuni ko'rsatdiki, bunga bugun boshlangan yangi tarmoq qurti w32.Blaster.worm epidemiyasi sabab bo'lgan.Gurt 16-iyulda Windows operatsion tizimining barcha operatsion tizimlarida mavjud bo'lgan RPC DCOM xizmatida topilgan zaiflikdan foydalanadi. 2000, Windows XP va Windows 2003 oilalari.Bu zaiflik hujum qilingan kompyuterning 135, 139 yoki 445 portiga kelgan tegishli tuzilgan TCP/IP paketi tomonidan chaqiriladigan bufer to'lib ketishi hisoblanadi. Bu, hech bo'lmaganda, DoS hujumini amalga oshirishga imkon beradi (DoS "Xizmat ko'rsatishni rad etish" yoki "xizmat ko'rsatishni rad etish" degan ma'noni anglatadi; bu holda, hujum qilingan kompyuter qayta ishga tushiriladi) va maksimal darajada har qanday kodni bajarishga imkon beradi. hujum qilingan kompyuter xotirasida. Tarmoq hamjamiyatini chuvalchang paydo bo'lishidan oldin tashvishga solgan birinchi narsa bu foydalanish uchun juda oson ekspluatatsiya (zaiflikdan foydalanish dasturi) mavjudligi edi, bu odatda har kim ushbu dasturni qabul qilishi mumkin bo'lgan vaziyatga olib keladi. va undan tinch bo'lmagan maqsadlarda foydalanishni boshlang. Biroq, bu gullar edi ... Yangi qurt tarqalgach, u 135-portga hujum qiladi va agar muvaffaqiyatli bo'lsa, TFTP.exe dasturini ishga tushiradi, shu orqali u o'zining bajariladigan faylini hujum qilingan kompyuterga yuklab oladi. Bunday holda, foydalanuvchiga RPC xizmatini to'xtatish va keyin qayta ishga tushirish haqida xabar beriladi. Qayta ishga tushirilgandan so'ng, qurt avtomatik ravishda ishga tushadi va ochiq port 135 bo'lgan kompyuterlar uchun kompyuterdan kirish mumkin bo'lgan tarmoqlarni skanerlashni boshlaydi. Agar ular aniqlansa, qurt hujumga o'tadi va hamma narsa yana takrorlanadi. Bundan tashqari, hozirgi vaqtda tarqalish tezligiga qarab, qurt tez orada antivirus kompaniyalari ro'yxatida birinchi o'rinni egallaydi. O'zingizni qurtdan himoya qilishning uchta usuli mavjud.
Birinchidan, Microsoft byulleteni Windowsning barcha zaif versiyalari uchun RPC nuqsonini yopuvchi yamoqlarga havolalarni o'z ichiga oladi (bu yamalar 16 iyulda chiqarilgan, shuning uchun o'z tizimini muntazam yangilayotganlar xavotirlanmasligi kerak).
Ikkinchidan, agar 135-port xavfsizlik devori tomonidan yopilgan bo'lsa, qurt kompyuterga kira olmaydi.
Uchinchidan, DCOM-ni o'chirib qo'yish oxirgi chora sifatida yordam beradi (bu protsedura Microsoft byulletenida batafsil tavsiflangan). Shunday qilib, agar sizga hali qurt hujum qilmagan bo'lsa, Microsoft serveridan operatsion tizimingiz uchun yamoqni iloji boricha tezroq yuklab olish tavsiya etiladi (masalan, Windows xizmatlari Yangilash) yoki xavfsizlik devoridagi 135, 139 va 445 portlarni bloklashni sozlang.
Agar sizning kompyuteringiz allaqachon zararlangan bo'lsa (va RPC xato xabarining paydo bo'lishi uning infektsiyalanganligini aniq bildiradi), u holda siz DCOM-ni o'chirib qo'yishingiz kerak (aks holda har bir keyingi hujum qayta ishga tushirishga olib keladi), so'ngra yamoqni yuklab oling va o'rnating.
Qurtni yo'q qilish uchun uni HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ro'yxatga olish kitobi kalitidan olib tashlashingiz kerak.
entVersion\Run yozuvi "windows auto update"="msblast.exe", keyin msblast.exe faylini toping va o'chiring - bu qurtning tanasi. Siz Symantec veb-saytida qurtlarni olib tashlash tartibi haqida ko'proq o'qishingiz mumkin. Ayni paytda barcha antiviruslar qurtni aniqlay olmaydi, siz faqat yangilanishlar chiqarilgandan so'ng ulardan himoyalanishga umid qilishingiz mumkin.
AHTOH tomonidan 17.08.2003 23:29 da chop etilgan:
XAVFLI CHURT! Nt Authority/tizim xatosi
__________________
Men yaxshilik qilaman, yaxshilik qilaman ...
|
