● 微软"解开"Win 2000服务器受攻击之迷 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: wmark (wmark), 信区: Security
标  题: 微软"解开"Win 2000服务器受攻击之迷
发信站: 荔园晨风BBS站 (Sun Oct  6 16:02:31 2002), 转信

微软对Windows 2000服务器受攻击的事件提出了新的解释。

　　微软上周在一份公告中警告公司企业，有一些针对Windows 2000服务器而来的
攻击，其原因让微软倍感困惑。

　　在对Windows 2000服务器所遗留的一些证据进行追查之后，现在微软相信，黑
客有系统的利用未适当关闭的Widndows 2000服务器，而不是操作系统的漏洞。

　　微软在上周五所张贴出的公告中指出：“微软已经确定，这些攻击显然并不是
利用操作系统的安全漏洞，其本质也不像是病毒或蠕虫。”“反而，这些攻击所利
用的是未采取预防措施的服务器。”

　　微软PSS（产品支持服务事业部）以这份公告替换掉原本说明不甚详尽的旧公
告，先前公告曾遭安全专家批评，认为说明过于模棱两可，于事无补。

　　这些攻击的特征是受害计算机中都存有攻击者所遗留的软件片段，以方便控制
遭入侵的计算机。微软在最新告示中警告说：“受到攻击的计算机有很清楚的模式
”，包括安全政策会被修改(若受害计算机是网域控制站（domain controller）的
话)，以及档名为Backdoor.IRC.Flood的档案。

　　Backdoor.IRC.Flood会安装IRC（在线实时交谈）的客户端软件，让黑客能够
远程控制，并无限制进出受害的计算机。

　　此外，受到攻击的计算机还会有一组共同的档案，包括Gg.bat、Seced.bat、
Nt32.ini、Ocxdll.exe，以及Gates.txt。Gg.bat档案会以系统管理员或是root
user（根使用者）的身份连上其它服务器，而Seced.bat则会改变安全政策。
Gates.txt包含了一份数字化的网址名单，然而公告内容并未提供细节说明这些网
址代表的意义。

　　所有受害的计算机执行的都是Windows 2000操作系统。

　　微软在公告中强调，这些攻击事件有其共通点，但无法证明它们利用的是操作
系统本身的漏洞。

　　微软在上周的公告中如此表示：“这些黑客利用空白的或者是有缺陷的系统管
理员密码进入系统。”

　　然而，微软却没有解释为何所有受攻击的计算机都是Windows 2000服务器。因
为不安全的密码问题可能影响的是所有的计算机，而不只是某一版本的操作系统。

    微软建议客户，不要使用过于简单的密码或者甚至是空白的密码，以保护自己
的服务器，此外要关闭guest账号，并执行最新的防毒软件，利用防火墙保护内部
网络及现有的所有安全漏洞。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 211.148.208.36]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店