1. <var id="fe6gj"></var>

    <rp id="fe6gj"><nav id="fe6gj"></nav></rp>

    <noframes id="fe6gj"><cite id="fe6gj"></cite>

    <ins id="fe6gj"><button id="fe6gj"><p id="fe6gj"></p></button></ins>
    1. <tt id="fe6gj"><i id="fe6gj"><sub id="fe6gj"></sub></i></tt>
        始創于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業
        • 60秒人工響應
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        您的位置: 網站首頁 > 幫助中心>文章內容

        沖擊波和沖擊波克星感染主機問題解析

        發布時間:  2012/7/4 13:43:39
         用注冊表+批處理文件解決局越網內千臺Win2k機器受沖擊波/沖擊波克星感染的問題分析如下:

        對網絡管理員來說,沖擊波克星的危害尤大,因為每臺中毒機器每秒發出上千個ICMP包,對接入/匯聚交換機來說很容易導致交換機被堵塞死。不幸的是,筆者所在學校的接入和匯聚交換機也被堵死了。

        中病毒的用戶也因為交換機的堵塞無法連接到指定內部的網站下載補丁和專殺文件,因此只有使用存儲設備copy的方式來解決。XP/2003系統很方便,專殺工具和RPC補丁一張軟盤就能copy給用戶,但在Win2000系統那里遇到了麻煩--RPC漏洞補丁需要在已安裝了SP2以上的Win2000中才可以運行,而眾多用戶由于一直以來不夠重視補丁升級等計算機維護工作,沒有在系統上打上SP2以上的Patch包,由于SP2以及后來的SP3、SP4每個都在100余M以上,無法通過軟盤Copy,而學?偣灿1000多個分散的節點使用了Win2000操作系統,靠網絡中心的人力和物力購買大量USB閃盤或者刻錄成光盤依次安裝也不太現實。網絡中心的電話鈴聲不斷響起,用戶的求援幫助不斷增加,該如何辦?

        解鈴還需系鈴人,還是先研究一下病毒的傳播特點以及各專殺工具/防御工具的實現原理吧,下面是一段關于手工清除病毒的做法:

        1、安裝好RPC補丁。

        2、點擊左下角的"開始"菜單,選擇"運行",在其中鍵入"cmd",點擊"確定"。這樣就啟動了命令提示符。在其中鍵入:

        1. net stop RpcPatch
        2. net stop RpcTftpd

        3、刪除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

        4、點擊左下角的"開始"菜單,選擇"運行",在其中鍵入"regedit",點擊"確定"。這樣就啟動注冊表編輯器。在注冊表中刪除鍵:

        1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
        2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
        3. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
        4. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

        5、重新啟動系統。

        按照以上的方案就可以殺掉沖擊波克星了,但由于涉及到注冊表/命令行的操作,對我們業內人員來說容易,而校內大部分用戶是教師和行政人員,操作起來難度太大,大多用戶使用文件都只會雙擊啟動。那么,有辦法我們依照以上的原理自己寫個小工具,想辦法讓用戶通過雙擊就能應用了么?仔細分析一下,以上步驟中的第2、3步驟,通過bat文件就能很容易地做到;而第4點,通過一個reg文件也能夠做到,難在第一點:如我們剛才分析過的一樣,如何給Win2000用戶打上SP2補丁是一個大問題呢。

        時間不斷流逝著,我不斷思考。根據我們的2、3步驟,其實我們已經把用戶機器上的沖擊波克星病毒成功殺除了。打補丁的作用是為了避免用戶在連上網后遭遇再次感染--既然不能打上補丁,那么能否研究一下病毒的感染原理,通過配置windows自身的工具來實現對病毒判斷的欺騙,讓其無法進入呢??試試看!

        研究一下綠盟的緊急公告中的內容,發現有以下一段話:

        蠕蟲病毒選擇目標IP地址的時候會首先選擇受感染系統所在子網的IP,然后再按照一定算法隨機在互連網上用ICMP掃描的方法尋找存活主機,發送的ICMP報文類型為echo,總大小為92字節,數據區為64字節的"0xAA"。由于發送的ICMP流量很大,可導致網絡阻塞。這是蠕蟲的主要危害。

        明白了,病毒的感染方式是這樣的:首先Ping所在子網的其他機器,如果有響應(這招跟不少嗅探軟件和RedCode等病毒相似,為的是跳過沒啟動的機器以加快感染效率)則通過漏洞的端口進行文件上傳并執行。

        看來解決感染的方式有兩個:1.關閉機器的ICMP響應(讓用戶的機器無法被Ping到,則該病毒就會認為該機沒啟動而不進行感染);2.將機器上的tcp/udp 135,137,138,139全部關閉(漏洞所在端口和上傳文件端口);

        通過對Windows2000的了解,我知道在本地安全策略->IP安全策略中可以成功實現對以上兩種解決方案的支持。而且安全策略的配置文件同樣是放在了注冊表內,可以生成reg格式文件,讓用戶雙擊倒入的方式進行安裝。恩,方法已經找到了。那么選擇哪一個方法呢?讓我們來考慮一下利弊吧。

        1. 關閉機器的ICMP響應:

        在IP安全策略中的支持很簡單,添加一個filter和一個屬性設置;不對網絡共享及其他服務構成沖突;缺點在于他人無法通過ping命令確定該機器是否連網正常;而且在開機的瞬間,網絡是先連接再實施策略,根據我的實驗大概有10個icmp包能被響應。

        2. 將機器上的tcp/udp 135,137,138,139全部關閉:

        優點在于是從病毒的傳播端口上防止病毒進入,防范安全性更高,且如果產生利用該漏洞的其他變種也能防御;缺點是會影響到網絡鄰居文件共享,設置起來比較麻煩。

        綜合考慮后,決定采用方案一,理由如下:不論方法1、2都是應急措施,并不是一勞永逸,目的是為了讓Win2000的用戶能夠在殺毒后不再被感染和不成為病毒源,讓用戶能夠連上網絡可以盡快下載安裝校內FTP上的SP4和RPC漏洞補丁,以根治此漏洞。針對方案一的策略應用中一開始icmp有10個包能被反饋的特性情況,可以通過對操作步驟的合理安排,巧妙回避,令用戶感覺不到(對用戶透明)。


        本文出自:億恩科技【www.endtimedelusion.com】

        服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]

      1. 您可能在找
      2. 億恩北京公司:
      3. 經營性ICP/ISP證:京B2-20150015
      4. 億恩鄭州公司:
      5. 經營性ICP/ISP/IDC證:豫B1.B2-20060070
      6. 億恩南昌公司:
      7. 經營性ICP/ISP證:贛B2-20080012
      8. 服務器/云主機 24小時售后服務電話:0371-60135900
      9. 虛擬主機/智能建站 24小時售后服務電話:0371-60135900
      10. 專注服務器托管17年
        掃掃關注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權所有  地址:鄭州市高新區翠竹街1號總部企業基地億恩大廈  法律顧問:河南亞太人律師事務所郝建鋒、杜慧月律師   京公網安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務熱線

         
         
        av不卡不卡在线观看_最近2018年中文字幕_亚洲欧美一区二区三区_一级A爱做片免费观看国产_日韩在线中文天天更新_伊人中文无码在线