十大高風險安全事件處置對策

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件

事件1  Windows 2000/XP RPC服務(wù)遠程拒絕服務(wù)攻擊

漏洞存在于Windows系統(tǒng)的DCE-RPC堆棧實現(xiàn)中，遠程攻擊者可以連接TCP 135端口，發(fā)送畸形數(shù)據(jù)，可導致關(guān)閉RPC服務(wù)，關(guān)閉RPC服務(wù)可以引起系統(tǒng)停止對新的RPC請求進行響應(yīng)，產(chǎn)生拒絕服務(wù)。   [對策]   1．臨時處理方法：使用防火墻或Windows系統(tǒng)自帶的TCP/IP過濾機制對TCP 135端口進行限制，限制外部不可信任主機的連接。
2.徹底解決辦法：打安全補丁。

事件2  Windows系統(tǒng)下MSBLAST（沖擊波）蠕蟲傳播

感染蠕蟲的計算機試圖掃描感染網(wǎng)絡(luò)上的其他主機，消耗主機本身的資源及大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)訪問能力急劇下降。  [對策] 1.下載完補丁后斷開網(wǎng)絡(luò)連接再安裝補丁。 2.清除蠕蟲病毒。

事件3  Windows系統(tǒng)下Sasser（震蕩波）蠕蟲傳播

蠕蟲攻擊會在系統(tǒng)上留下后門并可能導致Win 2000/XP操作系統(tǒng)重啟，蠕蟲傳播時可能導致被感染主機系統(tǒng)性能嚴重下降以及被感染網(wǎng)絡(luò)帶寬被大量占用。   [對策] 1.首先斷開計算機網(wǎng)絡(luò)。 2.然后用專殺工具查殺毒。 3.最后打系統(tǒng)補丁。

事件4  TELNET服務(wù)暴力猜測用戶口令

    TELNET服務(wù)是常見遠程登錄仿真服務(wù)，用戶可以使用TELNET遠程登錄系統(tǒng)，執(zhí)行任意命令。此事件屬獲取權(quán)限類攻擊。攻擊者可能正在嘗試猜測有效的TELNET服務(wù)用戶名和口令，如果成功，攻擊者可以登錄到系統(tǒng)執(zhí)行各種命令甚至完全控制系統(tǒng)。 [對策] 密切留意攻擊來源的進一步活動，如果覺得有必要阻塞其對服務(wù)器的連接訪問。

事件5  TELNET服務(wù)用戶認證失敗

TELNET服務(wù)往往是攻擊者入侵系統(tǒng)的渠道之一。大多數(shù)情況下，合法用戶在TELNET登錄過程中會認證成功。如果出現(xiàn)用戶名或口令無效等情況，TELNET服務(wù)器會使認證失敗。如果登錄用戶名為超級用戶，則更應(yīng)引起重視，檢查訪問來源是否合法。如果短時間內(nèi)大量出現(xiàn)TELNET認證失敗響應(yīng)，則說明主機可能在遭受暴力猜測攻擊。 [對策] 1.檢查訪問來源的IP、認證用戶名及口令是否符合安全策略。
2.密切關(guān)注FTP客戶端大量失敗認證的來源地址的活動，如果覺得有必要，可以暫時禁止此客戶端源IP地址的訪問。

事件6  TELNET服務(wù)用戶弱口令認證

攻擊者可能利用掃描軟件或人工猜測到TELNET服務(wù)的弱口令從而非法獲得FTP服務(wù)的訪問，也可能結(jié)合TELNET服務(wù)器的本地其他漏洞獲取主機的控制權(quán)。 [對策] 1.提醒或強制相關(guān)的TELNET服務(wù)用戶設(shè)置復(fù)雜的口令。
2.設(shè)置安全策略，定期強制用戶更改自己的口令。

事件7  Microsoft SQL 客戶端SA用戶默認空口令連接

Microsoft SQL數(shù)據(jù)庫默認安裝時存在sa用戶密碼為空的問題，遠程攻擊者可能利用這個漏洞登錄到數(shù)據(jù)庫服務(wù)器對數(shù)據(jù)庫進行任意操作。更危險的是由大多數(shù)MS-SQL的安裝采用集成Windows系統(tǒng)認證的方式，遠程攻擊者利用空口令登錄到SQL服務(wù)器后，可以利用MS-SQL的某些轉(zhuǎn)儲過程如xp_cmdshell等以LocalSystem的權(quán)限在主機上執(zhí)行任意命令，從而取得主機的完全控制。 [對策] 1.系統(tǒng)的安全模式盡量使用“Windows NT only”模式，這樣只有信任的計算機才能連上數(shù)據(jù)庫。 2.為sa賬號設(shè)置一個強壯的密碼； 3.不使用TCP/IP網(wǎng)絡(luò)協(xié)議，改用其他網(wǎng)絡(luò)協(xié)議。 4.如果使用TCP/IP網(wǎng)絡(luò)協(xié)議，最好將其默認端口1433改為其他端口，這樣攻擊者用掃描器就不容易掃到。

事件8  POP3服務(wù)暴力猜測口令攻擊

POP3服務(wù)是常見網(wǎng)絡(luò)郵件收取協(xié)議。
發(fā)現(xiàn)大量的POP3登錄失敗事件，攻擊者可能正在嘗試猜測有效的POP3服務(wù)用戶名和口令，如果成功，攻擊者可能利用POP3服務(wù)本身漏洞或結(jié)合其他服務(wù)相關(guān)的漏洞進一步侵害系統(tǒng)，也可能讀取用戶的郵件，造成敏感信息泄露。 [對策] 密切留意攻擊來源的進一步活動，如果覺得有必要阻塞其對服務(wù)器的連接訪問。

事件9  POP3服務(wù)接收可疑病毒郵件

當前通過郵件傳播的病毒、蠕蟲日益流行，其中一些郵件病毒通過發(fā)送帶有可執(zhí)行的附件誘使用戶點擊執(zhí)行來傳播，常見的病毒附件名后綴有：.pif、.scr、.bat、.cmd、.com ，帶有這些后綴文件名附件的郵件通常都是偽裝成普通郵件的病毒郵件。
    郵件病毒感染了主機以后通常會向郵件客戶端軟件中保存的其他用戶郵件地址發(fā)送相同的病毒郵件以擴大傳染面。
    此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作，郵件的接收者很可能會感染某種郵件病毒，需要立即處理。 [對策] 1.通知隔離檢查發(fā)送病毒郵件的主機，使用殺毒軟件殺除系統(tǒng)上感染的病毒。
2.在郵件服務(wù)器上安裝病毒郵件過濾軟件，在用戶接收之前就殺除之。

事件10  Microsoft Windows LSA服務(wù)遠程緩沖區(qū)溢出攻擊

Microsoft Windows LSA是本地安全授權(quán)服務(wù)(LSASRV.DLL)。
LSASS DCE/RPC末端導出的Microsoft活動目錄服務(wù)存在一個緩沖區(qū)溢出，遠程攻擊者可以利用這個漏洞以SYSTEM權(quán)限在系統(tǒng)上執(zhí)行任意指令。   [對策] 1.臨時處理方法：使用防火墻對UDP端口135、137、138、445及TCP端口135、139、445、593進行過濾。
2.打系統(tǒng)補丁、升級。   來源：CCW