|
为什么攻击总是选中微软的Win 2000服务器?
zdNet
从八月晚些时候开始,用户开始抱怨许多微软极力想解释的对Windows 2000 Server神秘的攻击。
这个位于Redmond的软件巨人至今还不清楚这些攻击的原因是针对一个新的弱点,还是只是由于不良构架,但是开始向后者倾斜。好消息是事件发生的数量正在下降。
攻击本身是一种木马攻击,而且他们看来似乎都与Backdoor.IRC.Flood有关联,它在系统内安装一个ICQ即时信息客户端。 根据最初的报告(一篇Microsoft Knowledge Base文章),在攻击发生后公司所做的和报道的一样。它说它完全不知道背景或是潜在的原因,不能确定任何明确的可以被成功攻击的弱点。
到2002年9月6日,微软发布了一个升级通知Knowledge Base article Q328691,谴责了对系统不良构架的攻击,提供了一些保护Win2K servers的指导,并且否认还存在应受到职责的未被发现的弱点。
微软说,本质上,问题在于脆弱的密码。但是,像Blackcode.com在它们9月10日对这个问题指出的那样,微软没有对为什么所有的成功攻击都是针对Windows 2000,而不是其他存在脆弱密码保护的操作系统的原因作出解释。
在那篇报道的开头(Q328691)的开头,微软确实说过,这一系列的攻击看来都与病毒或蠕虫无关,所以,目标是个别选择的。那就可以解释为什么所有被报道的攻击都是针对Windows 2000 servers的,那完全是由攻击者选中的系统。
适应性
迄今为止,所有的成功攻击都是针对Windows 2000服务器的,但是假如这不是归因于系统中一些还没有被发现的漏洞的话,其他平台也有同样的可能性和危险性,而现在还没有被作为目标。管理员可以观察和注意类似对Windows 2000攻击的可疑的举动。
细节
根据微软最初对受损系统的分析,任何一个受到攻击的计算机将要包含一些特殊的代码,以使得它能成为攻击的目标。这些文件的一部分将使再次损害系统变得更容易,而另一些则使你安装不了的正确的文件。
攻击会留给管理员一个改进安全的策略,但是它也会留下一个Backdoor.IRC.Flood IRC的客户端,使得黑客非常容易的再进入。
根据微软所说,其中一些在攻击的过程中丢失了的文件没有明显的功能,比如包含一个IP列表的文件Gates.txt。微软报告说,它的专家们还不能确定这些地址是指什么,或是做什么用,如果它们有区别的话。
在剩下的文件中,GG.bat将攻击其他的服务器,并且尝试用管理员的权限登录,Seced.bat改变了系统的安全设置。
另外,如果你在一个系统上找到好的Psexec,Ws_ftp,和(或)Flashfxp的复本,你将不需要自己重装它们了,系统可能会被损害。MDM.exe改变版本信息,Taskmgr.exe (\"Taskmngr.exe\")也可以在受损系统上找到,所以检查那些普通安装信息,特别是检测出有Backdoor.IRC.Flood文件的时候。
微软宣布,除了Windows 2000平台以外,所以由安全专家分析过的受损系统都有一个共同的因素:它们都有非常脆弱甚至是空白的管理员密码。
风险水平的临界
受损系统本质上完全对攻击开放,而且假如未被发现,损害将一直继续,直到ICQ客户端被清除出去以及正确适当地安全设置被重新建立。
微软的通知说,一个成功的攻击还将导致对合法用户拒绝提供服务,因为他们将不能登录到服务器。与Active Directory snap-ins (Microsoft Management Console)的连接也将对所有的用户失效。
缓和因素
IRC木马能被当前反病毒软件的最新升级版探测到。微软表示,这种攻击只会对保护不利的服务器成功,所以,任何一个具有适当安全配置的系统,特别是那些使用强力管理员密码的系统来说,将会是安全的。尽管现在系统安全业界还是有一些人对此嘲弄,但是到现在为止,没有人提供任何关于可能成为导致这个问题的Windows弱点的证据。
修复
因为现在看起来这孩不是实际的弱点,你要做的一切就是清楚出感染的部分,阻止将来的攻击。当你清理了系统中受损的文件和ICQ的后门以后,微软提醒你继续通常的安全程序,包括安装或适当配置防火墙软件,消除访客帐户,加强任何一个管理员密码。具体清除过程的细节没有包括在通知中,所以你大概要和微软支持联系从而寻求帮助。
结束语
除非Windows真的有一些新的缺点,否则微软还是能控制掌握这个问题的。当然,我们都知道还有很多没有很好安全保护的服务器在外面飘荡,一些人正通过脆弱的管理员密码攻击他们的想法是牵强的。
只有Win2K系统受到了影响的事实,(或至少报道的是这样)并不能指出在Win2K操作系统里有一个隐藏的对攻击开放的缺点。这也许仅仅只是野蛮人只选择Windows系统为目标,或是攻击其他的平台不能产生同样的效果。
(zdNet,2002-10-22)
|
