警惕“Code Red”蠕虫的卷土重来
8月1日后局部因特网有可能陷入瘫痪。原因是此前曾大面积肆虐的“Code Red”蠕虫自8月1日起有再度爆发的危险。如果使用已经公开的补丁程序的话,就可以避免受到侵害。所以建议IIS(Internet Information Server/Services)服务器管理员一定要使用这种补丁程序,并确认补丁程序已经运行,严阵以待8月1日。
网络安全组织——美国CERT/CC继7月19日之后,又于7月26日发布了蠕虫警告。如此频繁地发出警告尚属首次。在该组织于7月26日发布的建议书中提到,已有28万台以上的服务器受到了感染。而这只是该组织掌握的部分数字,实际上可能有更多的服务器受到了侵害。最早发现该蠕虫是在7月13日,也就是说在短短两周之间感染规模已经扩大了如此之多。
这种感染力极强的“Code Red”蠕虫目前正有再度肆虐的危险。正如多次警告中提到的那样,该蠕虫通过普通的HTTP感染,所以仅靠防火墙无法彻底阻挡其入侵。而且该蠕虫还能根据所感染的机器的日期执行不同的破坏任务:
·毎月1日~19日:尝试入侵其它机器
·每月20日~27日:向特定的IP地址(198.137.240.91)发动DoS攻击。
·毎月28日~月底:停止活动
现在蛰伏于内存中、处于休息期的蠕虫到8月1日以后有可能重新开始活动。成功入侵IIS服务器的Code Red在IIS的缺省语言为英语时,会将Web页的内容篡改为“HELLO! Welcome to http://www.worm.com! Hacked By Chinese!”。在8月1日来临之前,希望管理者在使用补丁程序的同时应再次确认补丁是否运行良好。
请务必使用补丁程序
正如多次劝告的那样,解决办法就是使用微软公开的补丁程序。因为“Code Red”是以内存为宿主的蠕虫,所以只要使用补丁程序并重新启动的话,即使现在已被感染也可免遭进一步感染。
此次的蠕虫将具有高于以往的感染力。据安全产品开发商美国eEye Digital Security的报道,该蠕虫每天将尝试入侵50万台机器(IP地址)。从这一数字就可以推算出其强大的感染力。希望网络管理人员能充分认识到问题的严重性、采取必要的对策。
另外,在使用补丁后,还应参照注册表项逐一确认是否已按要求安装。微软在发表中已提到,使用Windows NT 4.0的用户,应确认“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q300972”、使用Windows 2000的用户应确认“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP3\Q300972”是否已经生成。
将扩展名为“.ida”和“.idq”的文件从脚本映射(script matching)中删除也可免受侵害。但是如果变更系统构成时,映射就可能恢复到原来的状态。因此,微软建议在这种情况下即使已从脚本映射中删除,也应该使用补丁程序。
毫无疑问,不仅限于带“.ida”和“.idq”扩展名的文件,所有不使用的服务都应该从脚本映射中删除,这是一个任何情况下都适用的安全“法则”。
思科的路由器等产品也可能受到影响
受这种蠕虫影响的不仅限于IIS服务器。在内部使用IIS服务器的网络设备也将受到影响。比如,美国思科系统的“CallManager”、“Unity Server”、“uOne”、“ICS7750”、“Building Broadband Service Manager”都将受到影响。上述设备也应使用相应的补丁程序等进行防范。
即使不使用IIS的产品也有可能受到侵害。目前已知的有“Cisco 600 Series DSL Router”。蠕虫会在尝试入侵时通过发送请求来使数据包的发送中止。Cisco已经发现了这一问题,用户只要使用补丁程序就可以防患于未然。
尽管美国CERT/CC等并未公布,但在有关安全问题的发送文件清单(Mailing List)等材料中已经列出了除上述产品以外的可能受到影响的网络产品的名单。建议大家在执行较特殊的操作时,应该及时与制造商等进行确认。
目前已经发现了多种“Code Red”蠕虫的变种。目前被发现的变种与“原形”相比,动作变化不算太大。但极有可能出现更为恶劣的变种。一旦成为感染对象,不仅会成为感染其它机器的“跳板”,也会对网站流量造成极大的影响。受害的将不仅仅是自己一个站点。
此次的蠕虫感染力非常之强。建议大家必须抱着“不能使用补丁程序的IIS服务就应该切断与因特网的连接”这样的态度来密切注视从8月1日开始肆虐的“Code Red”。 发布人:Crystal 来自:日经BP