IIS遭攻击停止,此攻击导致无法执行 asp 但是可以浏览 .htm
下面是系统事件: 连续3个系统事件,然后就无法执行 asp了,只返回500错误
事件类型: 错误
事件来源: Service Control Manager
事件种类: 无
事件 ID: 7031
日期: 2003-3-13
事件: 1:48:45
用户: N/A
计算机: WWW_SERVER
描述:
Remote Procedure Call (RPC) 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内
运行: 没有操作。
事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 37
日期: 2003-3-13
事件: 1:49:21
用户: N/A
计算机: WWW_SERVER
描述:
进程外应用程序 '/LM/W3SVC/3/Root' 意外地终止。
若要获取关于此消息的更多的信息,请访问 Microsoft 联机支持站点:
http://www.microsoft.com/contentredirect.asp 。
事件类型: 警告
事件来源: W3SVC
事件种类: 无
事件 ID: 28
日期: 2003-3-13
事件: 1:49:22
用户: N/A
计算机: WWW_SERVER
描述:
服务器停止应用程序 '/LM/W3SVC/3/Root' 的请求,因为进程外组件故障数超过一定限度。
若要获取关于此消息的更多的信息,请访问 Microsoft 联机支持站点:
http://www.microsoft.com/contentredirect.asp 。
=====================分析原因=============================================
5. 2002-10-18 Microsoft Windows 2000/XP RPC服务远程拒绝服务漏洞
NSFOUCS ID: 3691
综述:
Microsoft Windows 2000/XP的RPC服务存在漏洞,远程攻击者可以利用这个漏洞进行拒绝服务攻击。
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭
RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。由于众多服务都依赖于RPC
服务, 这可能使系统变得不稳定,很多正常操作无法进行。例如,Word中将无法使用拷贝/粘贴功能。 根据系
统安装的补丁情况,可能导致Windows XP系统重新起动。
目前微软尚没有提供补丁下载。攻击者无需通过身分认证即可利用这个攻击,而且无法通过关闭RPC服务来避免
攻击,因为它是必需的服务。 只有利用防火墙或者Windows自带的TCP/IP过滤机制来限制外部主机的访问才能
避免受到攻击。
危害:
攻击者可以远程造成Windows系统无法正常工作甚至重新启动。
==========================解决方案========================================
标题:使用IPSec阻止对TCP135端口的访问
我要评论
发信人: Sinbad
1<[email protected]>
2标 题: 使用IPSec阻止对TCP135端口的访问
3发信站: 辛巴达 (Tue Feb 5 12:25:03 2002)
4
5使用IPSec阻止对TCP135端口的访问
6
7
8作者:mayi
9
10
11一.创建IP筛选器和筛选器操作
12
131."开始"->"程序"->"管理工具"->"本地安全策略".微软建议使用本地安全策略进行IPsec的
14设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的
15.
16
172.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP 筛选
18器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPs
19ec安全策略.
20
213.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
221)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.
23单击右侧的"添加..."按钮,启动IP筛选器向导.
242)跳过欢迎对话框,下一步.
253)在IP通信源页面,源地方选"任何IP地址",因为我们要阻止传入的访问.下一步.
264)在IP通信目标页面,目标地址选"我的IP地址".下一步.
275)在IP协议类型页面,选择"TCP".下一步.
286)在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步.
297)完成.关闭IP筛选器列表对话框.会发现tcp135IP筛选器出现在IP筛选器列表中.
30
314.选择"管理筛选器操作"标签,创建一个拒绝操作:
321)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
332)在筛选器操作名称页面,填写名称,这儿填写"拒绝".下一步.
343)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
354)完成.
36
37
385.关闭"管理 IP 筛选器表和筛选器操作"对话框.
39
40二.创建IP安全策略
411.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页
42面,下一步.
43
442.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口
45的访问",描述可以随便填写.下一步.
46
473.在安全通信要求页面,不选择"激活默认响应规则".下一步.
48
494.在完成页面,选择"编辑属性".完成.
50
515.在"拒绝对tcp135端口的访问属性"对话框中进行设置.首先设置规则:
521)单击下面的"添加..."按钮,启动安全规则向导.跳过欢迎页面,下一步.
532)在隧道终结点页面,选择默认的"此规则不指定隧道".下一步.
543)在网络类型页面,选择默认的"所有网络连接".下一步.
554)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步.
565)在IP筛选器列表页面选择我们刚才建立的"tcp135"筛选器.下一步.
576)在筛选器操作页面,选择我们刚才建立的"拒绝"操作.下一步.
587)在完成页面,不选择"编辑属性",确定.
59
60
616.关闭"拒绝对tcp135端口的访问属性"对话框.
62
63三.指派和应用IPsec安全策略
641.缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在
65本地安全策略MMC中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指
66派".
672.立即刷新组策略.使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略
68.</[email protected]>