由网络安全撰写的日志

昨天下午5点半开始陆续收到客户投诉，邮件系统，网站等不能访问的情况。开始排查问题的源头，最后锁定到新网的DNS服务器上，遂电话之。对方答得也干脆，首先承认是他们的问题，称是技术故障。争取30内搞定。在一番折腾后，差不多零点左右终于搞定了。

推想一下新网在中国域名提供商中的地位，这次故障的涉及面肯定非常广。不过他们也直接了当的拒绝赔偿了。像很多供应商的作派一样，称自己也是受害者。既然大家都是受害者，那解决问题的逻辑就是不了了之了。

所幸这次问题发生在大多数商业公司下班之后，不像之前遇到的电信线路故障，大白天，上班开始收信的高峰期。投诉如潮水，我也只能称自己是受害者。客户受的害是通信和商业活动无法展开。我受的害是，尽管我解释了事情的原委，但客户可能还是无法信任我，转投其他供应商而流失了客户。那电信受了什么害呢？大家骂他几句，日子继续过。

所以这99.9%的故障率，还是恰到好处的，没把话说满，留了条退路。这99.9%的数据怎么统计出来的，大家谁也没兴趣去考虑了。怎么说，我们是大约有99.9%的时间都可以用网络的。你看人家伊拉克，怎么也整不出99.9%

今天回家打开电脑后去吃饭，回来看到cmd.exe被启动了。竟然通过我的ftp.exe抓了些坏东西到我的机器上。 不过 奇怪的是，ftp抓包后，不知道为什么没关掉cmd窗口。坏东西在系统temp目录下有几个sqlscan.exe sqlexp.exe etc.文件，sqlscan是sql server的密码穷举软件。通过使用特定字典档扫描特定的ip段，拿到sql server的root权限，基本上sql server的root权限跟win os的亲密关系，如果你的sql被夺权了，你的pc也就变成一台不折不扣的肉鸡了。
不知道这些不请自来的不速客是哪个缝里进来的。怀疑从emule(电驴) hack进来的可能性最大。从其它开着的程序（比如 msn/ gtalk /skype /google /desktop /sidebar/ ）的可能性并不大。暂时只把ftp.exe的所有权限都去掉。把temp里面的程序全部清除。如果有类似经历者，可以告诉我正解。
ps:[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]是个国内的craker team?

Modify 2005-12-11 20:49
基本确定为Worm@W32.Fanbot这个蠕虫.利用了这个windows的漏洞，先下载补丁。此蠕虫会在修改注册表记录如下。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes
"ImagePath" = "%System%\remote.exe"
"DisplayName" = "Remote Procedure Call (RPC) Remote"
"Type" = "110"
"Start" = "2"
"ErrorControl" = "1"
"ObjectName" = "LocalSystem"

这整个节点记录可以全部清除。另外保证 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcSs 节点的 start 参数为2，

即自动启动，而不是4，禁用。因为那个remote.exe会伪装成RPC的基本服务而屏蔽原来的RPC。

这点请注意，因为这个服务跟其他服务依存度很高，很多重要服务都依赖于此服务。（修改注册表前请注意备份。）

修改后即可重新启动机器。然后可把%system%下面的remote.exe删除或者移动到其他文件夹。具体说明请阅读全文

继续阅读 »