斩断利用“魔波漏洞”的黑手
网络安全
今天上班时,突然收到一位MM的电话,说她的计算机中了最新的“魔波”病毒,询问我有什么解决办法。我说:“最简单的方法就是利用最新的杀毒软件对系统进行扫描检测,从而清除系统中的病毒文件。” MM说道:“清除完成后还需要做什么吗?”“清除完成后,当然就是安装最新的系统补丁啦。”我接着说道。
“‘魔波’病毒和系统补丁有什么关系吗?”MM接着问道。我耐心地为她解释道:“这个最新的‘魔波’病毒就是利用了Windows系统最新的Windows Server服务远程缓冲区溢出漏洞编写出来的病毒,如果你的系统没有这个漏洞的话,那么病毒当然就不能感染你的系统了。”
等MM听明白以后,我接着说道:“这种高危漏洞除了容易引起大面积的病毒爆发以外,最主要的是还可能引起黑客新一轮的入侵高潮,存在MS06-040漏洞的远程计算机都有可能成为黑客手中的肉鸡。正好我现在有些时间,我就通过网络给你演示看看吧。”
黑客会如何入侵
“Windows系统每个重要的缺陷都可能被黑客用来发动攻击。微软在MS06-040安全公告中说,这一问题存在于用来支持文件共享和打印机共享等网络功能的一项Windows服务中。微软在安全公告中警告说,成功地利用该缺陷的黑客能够完全获得有缺陷系统的控制权,因此建议用户立即安装该补丁软件。”我对MM介绍着这个高危的Windows Server服务远程缓冲区溢出漏洞。
“那要利用这个漏洞困难吗?需要使用那些工具啊?”MM问道。“此漏洞的利用比较容易并且影响面非常广,现在互联网上已经出现各种各样利用该漏洞的工具。其实要利用这个漏洞,方法非常简单,工具也只需要两个:一个工具是用于扫描可能存在MS06-040漏洞的远程计算机,另一个则是利用MS06-040漏洞的溢出工具。”
为MM支招
要想避免黑客通过MS06-040漏洞来入侵你的计算机系统,最简单的方法就是尽快安装MS06-040漏洞的安全补丁。除此以外,还有很多变通的防范方法。例如使用个人防火墙,如Windows XP和Windows Server 2003捆绑的Internet连接防火墙来阻断TCP 139和445端口;或在支持的系统上启用高级TCP/IP过滤功能,只开放合法的系统端口。
在受影响的系统上使用IPSec阻断受影响的端口,避免被黑客进行扫描;由于Server 服务通过网络提供 RPC 支持和文件打印支持以及命名管道共享,个人用户根本使用不到该服务。所以在系统服务管理器中,将服务Server的运行方式设置为禁用等方法,都可以有效起到阻止黑客入侵的目的。
入侵实例
