[sicurezza] Vulenrabilità microsoft RPC

chisono · 29-07-2003, 09:47

Buongiorno,
non so' se questo è il forum + appripriato per postare questa problematica...

Qualcuno di voi è a conoscenza della vulnerabilità dei sistemi miscrosoft server (2003 compreso) sulla porta 135 (RPC) ?

come cacchio ci si difende?
apparte il firewall e soprattutto come si fa a sapere da dove proviene l'attacco?

dr.stein · 29-07-2003, 10:19

disabilita il servizio!!!

chisono · 29-07-2003, 10:25

Quote:

Originariamente inviato da dr.stein
disabilita il servizio!!!

ma tu sai qual'è questo bug?

e poi se disattivo il servizio non mi funzioneranno più le schede di rete

dr.stein · 29-07-2003, 10:37

falso!

non ti funziona piu' RPC al limite....

cmq qui c'e' spiegato tutto, e c'e' anche il link alla patch

http://www.microsoft.com/italy/techn...y/ms03_026.asp

chisono · 29-07-2003, 10:46

Quote:

Originariamente inviato da dr.stein
falso!

non ti funziona piu' RPC al limite....

cmq qui c'e' spiegato tutto, e c'e' anche il link alla patch

http://www.microsoft.com/italy/techn...y/ms03_026.asp

grazie, ora il mio problema è questo:

sono già stato attaccato, secondo te la patch, puo' bloccare eventuali intrusi che già hanno fatto i loro comodi?
ovviamente ho già alzato le protezioni contro back door e trojan

dr.stein · 29-07-2003, 11:46

come fai a dire di essere gia' stato attaccato ?^

cosa te lo fa pensare ?

chisono · 29-07-2003, 14:48

Quote:

Originariamente inviato da dr.stein
come fai a dire di essere gia' stato attaccato ?^

cosa te lo fa pensare ?

ho letto i file di registro degli eventi e ho visto le operazione effettuate e mi risulta che domenica sera sono stati attivati dei permessi di esecuzione script nelle root principali dei domini da me gestiti, oltre a riscontrare seri problemi sulla rete interna e sul file svchost.exe

dr.stein · 29-07-2003, 16:32

Bada!

Allora, chiariamo bene la situazione...

qual'e' la macchina attaccata ?

DC ?

per problemi sulla rete PRECISAMENTE cosa intendi ?
attiva i log e i trace sull'interfaccia di rete, magari coadiuvati da un bello sniffer!

probabilmente l'attacco e' arrivato dall'interno, potresti vedere i log di connessione se erano attivi!

Perche' una macchina cosi' importante non era protetta, almeno da un FW ? meglio se in DMZ!

chisono · 29-07-2003, 17:05

Quote:

Originariamente inviato da dr.stein
Bada!

Allora, chiariamo bene la situazione...

qual'e' la macchina attaccata ?

DC ?

per problemi sulla rete PRECISAMENTE cosa intendi ?
attiva i log e i trace sull'interfaccia di rete, magari coadiuvati da un bello sniffer!

probabilmente l'attacco e' arrivato dall'interno, potresti vedere i log di connessione se erano attivi!

Perche' una macchina cosi' importante non era protetta, almeno da un FW ? meglio se in DMZ!

dunque:
la macchina si trova nella web farm di Fastweb, il che esclude attacchi interni,
il firewall era abilitato, ma poichè il router lì molto propabilmente è un Cisco ho dovuto tenere la 135 aperta, se ci istallo su uno sniffer va a finire che poi la devo buttare i carichi sono alti intorno alla 15000-20000 connessioni al giorno, altri tipi di protezione ci sono:
- database di backup su un'altra macchina che si attiva istantaneamente bloccando tutte le operazioni sulla macchina principale, anche in locale come admin.
- i log cmq erano attivi
- la macchina è un compaq proliant 580 con 4 sk di rete e 4 ip pubblici

29-07-2003, 09:47	#1
chisono Junior Member Iscritto dal: Jul 2003 Messaggi: 5	[sicurezza] Vulenrabilità microsoft RPC Buongiorno, non so' se questo è il forum + appripriato per postare questa problematica... Qualcuno di voi è a conoscenza della vulnerabilità dei sistemi miscrosoft server (2003 compreso) sulla porta 135 (RPC) ? come cacchio ci si difende? apparte il firewall e soprattutto come si fa a sapere da dove proviene l'attacco?

29-07-2003, 10:19	#2
dr.stein Registered User Iscritto dal: Dec 2001 Messaggi: 890	disabilita il servizio!!!

29-07-2003, 10:37	#4
dr.stein Registered User Iscritto dal: Dec 2001 Messaggi: 890	falso! non ti funziona piu' RPC al limite.... cmq qui c'e' spiegato tutto, e c'e' anche il link alla patch http://www.microsoft.com/italy/techn...y/ms03_026.asp

29-07-2003, 11:46	#6
dr.stein Registered User Iscritto dal: Dec 2001 Messaggi: 890	come fai a dire di essere gia' stato attaccato ?^ cosa te lo fa pensare ?

29-07-2003, 16:32	#8
dr.stein Registered User Iscritto dal: Dec 2001 Messaggi: 890	Bada! Allora, chiariamo bene la situazione... qual'e' la macchina attaccata ? DC ? per problemi sulla rete PRECISAMENTE cosa intendi ? attiva i log e i trace sull'interfaccia di rete, magari coadiuvati da un bello sniffer! probabilmente l'attacco e' arrivato dall'interno, potresti vedere i log di connessione se erano attivi! Perche' una macchina cosi' importante non era protetta, almeno da un FW ? meglio se in DMZ!

Strumenti
Mostra una versione stampabile Invia questa pagina per email