Windows Server 蠕虫 你准备好了吗

      近十年间Windows蠕虫病毒在Windows世界里赚尽眼球。Slammer做为其中最为肆孽的一种从诞生之初就曾造成过世界范围的网络瘫痪。Blaster蠕虫可能是最具危险性的病毒。所有这些蠕虫病毒都应该在攻击发生之前进行补丁。

      但现在的情形有一些不同。补丁本身并没有真正的不同;用户仍然对打补丁有着抗拒心理,甚至是应用自动更新时也是如此。正如Secunia所言:"用户不爱打补丁"。这句话真正的含义虽然是指他们的补丁打的不够,但我相信目前的情形比过去的补丁发展更多更快,并且随着时间的推移还在稳步前进。

      真正的不同在于防火墙,可能所有这些网络蠕虫都能被防火墙阻止,它可能是思科系统的企业级防火墙,Linksys的家用路由器或者XP Service Pack 2和Windows最新版本中缺省设置的Windows防火墙。Windows系统MS08-067安全漏洞是最新发现针对Windows Server的蠕虫攻击。系统在两种情况下会受到攻击:1)防火墙失效,或者2)文件和打印共享激活。在后者的情况下系统最易受到攻击,但不会波及整个世界,仅涉及用户共享的网络。

      回溯2005年,当微软发布MS05-039(即插即用中的漏洞可能允许远程执行代码和特权提升)安全公告时,Windows XP SP 2中有缺省为开启状态的防火墙设置,但仅一年有效。这样即使没有用户行为系统也容易受到远程网络的攻击。

      最后的Windows蠕虫病毒Sasser(冲击波)利用Windows平台的Lsass漏洞进行传播,几乎所有的单机用户都没有安装软件防火墙,也很少有家庭用户使用路由器或防火墙。即使像Sasser这样一个愚蠢的编译蠕虫都能不费吹灰之力的迅速肆孽开来。

      如今,企业级用户都通过阻止端口为139和445(很多攻击都是通过这两个端口传播的)的防火墙来保护自己的系统。有很多的用户没有硬件防火墙,但是迄今为止大多数用户都通过运行XP SP2或者第三方安全产品来获取防火墙的保障。至于其他用户必然已经被其他的病毒所感染了。

      移动用户或者家庭用户可能是因为不安全的操作让计算机被病毒感染,然后又使用VPN连接或将计算机和办公室网络连接又传染了别的计算机。特别是当用户在服务器上登录验证时,服务器也可能因此被感染。

      能为未打补丁的网络提供防御保护的是IPS。通过Snort设计来填补昂贵的、探测繁重的网络侵入情况的系统留下的空缺。我相信任何使用得当的IPS都能发挥作用。还有一些更小型的软件能发现未经定义的异动行为,或许这就是目标攻击首次是如何被发现的。启动IPS保护不仅是周期行为而且还要监控内部网络的流量。

      在Windows的用户群中,肯定有一些用户因为疏忽大意已经受到攻击。即使只是很小的比例也是个绝对大的基数,这个基数将把攻击传播开来,成为网络上恶意病毒的组成部分。

      有许多人会通过这种攻击方式而中标,因此每个人都应该尽快给自己的系统打好补丁,在我构思这篇文章之前我已经为我所有的系统打好了补丁。攻击确实是真正的威胁,即使这个威胁还不及几年前的一半。