等蠕蟲病毒、媒體曾經(jīng)大喊狼來了,然而人們感覺好象

1、面對“美麗莎”、“愛蟲”等蠕蟲病毒、媒體曾經(jīng)大喊“狼來了”，然而人們感覺好象什么也沒有發(fā)生但是這次確實是真實的。紅色代碼 II是大規(guī)模破壞和信息丟失的一個開始，而這種程度是我們前所未見的。對于我們所依賴的互聯(lián)網(wǎng)結(jié)構(gòu)而言，這是第一次重大的威脅紅碼蠕蟲病毒危害的深層透視紅色代碼及其變異的危害7月16日，首例紅色代碼病毒被發(fā)現(xiàn)，8月4日紅色代碼v3, 也稱為紅色代碼II又被發(fā)現(xiàn)，它是原始紅色代碼蠕蟲的變異，這些蠕蟲病毒都是利用“緩存溢出”對其他網(wǎng)絡(luò)服務(wù)器進(jìn)行傳播。紅色代碼及其變異紅色代碼I和紅色代碼II均是惡意程序，它們均可通過公用索引服務(wù)漏洞感染Microsoft IIS Web服務(wù)器，并試圖隨機(jī)

2、繁殖到其他Microsoft IIS服務(wù)器上。最初原始的紅色代碼帶有一個有效負(fù)載曾致使美國白宮網(wǎng)站服務(wù)器服務(wù)中斷。紅色代碼II 比原來的紅色代碼I危險得多，因為它安裝了通路可使任何人遠(yuǎn)程接入服務(wù)器并使用管理員權(quán)限執(zhí)行命令，且行蹤無法確定。紅色代碼II帶有不同的有效負(fù)載，它允許黑客遠(yuǎn)程監(jiān)控網(wǎng)站服務(wù)器。來自主要網(wǎng)絡(luò)安全廠商賽門鐵克公司的安全響應(yīng)中心的全球請求救援信號表明，大量的網(wǎng)站服務(wù)器（IIS）受到了感染。這正進(jìn)一步說明，紅色代碼II被評估認(rèn)為具有很高的危害性。紅色代碼II通過使用Microsoft IIS索引服務(wù)，使用與原始紅色代碼蠕蟲相似的滲透和繁殖技術(shù)。而且，紅色代碼II還能夠為遠(yuǎn)程系統(tǒng)對

3、準(zhǔn)接入打開方便之門。之所以能夠危及主機(jī)系統(tǒng)安全，是因為紅色代碼II在網(wǎng)站服務(wù)器上創(chuàng)建了一個秘密通道，可允許某個人通過網(wǎng)絡(luò)控制你的系統(tǒng)。令人恐怖的是，人們還發(fā)現(xiàn)這種蠕蟲代碼程序如此成功：一旦受到感染，人們只需掃描計算機(jī)的80端口就能發(fā)現(xiàn)大量危及安全的文件包，而無需已公布的病毒列表。盡管紅色代碼的危害性令人恐懼，但仍未引起輿論的深層重視。值得注意的是，由前一段時間媒體的報道并沒有深層剖析原始紅色代碼蠕蟲及其變異間的區(qū)別，媒體對報道這類病毒的深度也不夠，這可能會使用戶有一種已經(jīng)安全的錯覺，使得他們集中精力對付紅色代碼變種的勁頭減弱，但是這種變異的危險性遠(yuǎn)遠(yuǎn)大于原始蠕蟲。如果用戶沒有對其Window

4、NT或Window 2000服務(wù)器進(jìn)行完全評估，它們可能更容易被入侵，從而導(dǎo)致癱瘓。這些Web服務(wù)器有良好的帶寬，我們可以想象分布的服務(wù)機(jī)構(gòu)中斷會對帶寬造成多么惡劣的影響。而而且這些Web服務(wù)器與其他重要的系統(tǒng)如信用卡交易服務(wù)器和秘密文件等也有潛在的依賴關(guān)系，這將危及其他機(jī)器的安全。還要明確的是，一個易被紅色代碼攻擊的系統(tǒng)不一定是IIS?？蛻舯仨毩私猓?dāng)一個標(biāo)準(zhǔn)操作環(huán)境安裝網(wǎng)站服務(wù)器時，微軟操作環(huán)境默認(rèn)安裝，這一系統(tǒng)也因此容易受蠕蟲攻擊。除非用戶明確設(shè)定關(guān)掉此類服務(wù)，或命令不初始安裝IIS。測定一臺服務(wù)器是否容易被攻擊的唯一辦法是評估其是否安裝了IIS，假如是的話，最好采用修補(bǔ)方法或移開IIS

5、予以補(bǔ)救。紅色代碼可怕的原因揭秘受紅色代碼II感染的成百上千臺機(jī)器都在互聯(lián)網(wǎng)上做過廣告，這使得黑客很容易就能得到大批受感染的機(jī)器名單，然后遠(yuǎn)程登陸到這些機(jī)器上，得到一個命令提示符，隨后黑客便可在這些機(jī)器上執(zhí)行任意的命令了。此時，黑客極有可能利用這次機(jī)會來全面替代這些文件包。他們可能會使用自動錄入工具退出并安裝根源工具包（root包），發(fā)布拒絕服務(wù)代理到易感染紅色代碼的文件包，并對它們進(jìn)行修改，如此一來其他人也無法得到它。實現(xiàn)這些非常簡單，紅色代碼II文件包宣布它們是易于攻入的，黑客不需要非法進(jìn)入，他只需遠(yuǎn)程登錄該進(jìn)程并獲得一個命令提示符，那么他便可為所欲為。所有這些黑客都可以用自己的電腦就能幫

6、他完成不斷連接到存在安全隱患的文件包，安裝根源工具包，進(jìn)行修改，然后轉(zhuǎn)向另一臺機(jī)器。黑客可以堆積上千個根源文件包，每一個進(jìn)程都是一個分布式的“拒絕服務(wù)”代理。一組300至500個分布式“拒絕服務(wù)”代理足以使一個大型互聯(lián)網(wǎng)站點癱瘓。通常情況會看到黑客每次可以攻擊10,000或更多的服務(wù)代理，這就意味著黑客可以使互聯(lián)網(wǎng)的主要部分如ISP、主要供應(yīng)商和多重互聯(lián)網(wǎng)電子商務(wù)站點同時癱瘓。 由此可見，紅色代碼的真正危害在于單個流竄的黑客。拿暴動作為比喻，暴動中群眾的心理是，一旦暴動展開，都想?yún)⑴c進(jìn)去，因為人們可以用他自己以往不能獨立采取的方式做想做的事情。有了紅色代碼II蠕蟲病毒，黑客會更加厚顏無恥，他們

7、可以對更多的機(jī)器直接取得控制，因為文件包已經(jīng)是易于攻入的了，并且被紅色代碼 II蠕蟲病毒暴露在那里，安裝根源工具包和擁有這些文件包也不再感覺是違背倫理的?？偠灾?，他們不用“破門而入”，只是“進(jìn)入”而已。因為最艱苦的部分已經(jīng)由蠕蟲病毒完成了。而對防范者而言，一般用戶都感覺旁若無人，因為我們所有的注意力都放在蠕蟲病毒上，而沒有放在到處流竄安裝root包的單個黑客上?？梢哉f，面對“美麗莎”、“愛蟲”等蠕蟲病毒、媒體曾經(jīng)大喊“狼來了”，然而什么也沒有發(fā)生但是這次確實是真實的。紅色代碼 II是大規(guī)模破壞和信息丟失的一個開始，而這種程度是我們前所未見的。這對于我們所依賴的互聯(lián)網(wǎng)結(jié)構(gòu)而言，堪稱是第一次重大

8、的打擊。如何解除紅色代碼的武裝現(xiàn)在，廣大的受害者都陷于未能對這些成百上千臺機(jī)器進(jìn)行修補(bǔ)而是進(jìn)行操作系統(tǒng)重新安裝的尷尬境地。此時受害者還不知道自己的機(jī)器上運(yùn)行著什么。他們面臨的選擇只有兩種：要么重新安裝操作系統(tǒng)并進(jìn)行修補(bǔ)；要么進(jìn)行非常詳盡的分析并安裝補(bǔ)丁。但是是否我們肯定必須要這么做嗎？修補(bǔ)這些文件包需要花費多長的時間？這樣做的意義何在這些問題煩之又煩。任何處身在互聯(lián)網(wǎng)環(huán)境中并享受服務(wù)的人都有責(zé)任采取合理的步驟來保護(hù)他們的系統(tǒng)，確保各種基礎(chǔ)設(shè)施的完好以及開銷的合理。網(wǎng)絡(luò)安全專家賽門鐵克主張使用最佳實施方案作為控制風(fēng)險的最有效途徑。這意味著您的系統(tǒng)要與一整套基于80-20規(guī)則被驗證后的系統(tǒng)設(shè)置保持

9、統(tǒng)一。無論其是否通過最佳標(biāo)準(zhǔn)的審核，或是在實際設(shè)置過程中參照其它標(biāo)準(zhǔn)，每一個構(gòu)造項目都會有一個業(yè)務(wù)成本。這也是80-20規(guī)則為何顯得格外重要的原因，因為它能夠識別一個系統(tǒng)所需的最重要轉(zhuǎn)變是什么，比如說賽門鐵克的ESM最佳實施策略。它將著重審核最關(guān)鍵的能夠為您的安全投入帶來收益的系統(tǒng)設(shè)置。80-20規(guī)則對于信息安全十分適用，它強(qiáng)調(diào)了您系統(tǒng)中80%危及安全的問題有20%來自于您系統(tǒng)的不合理構(gòu)造。用學(xué)術(shù)的語言來說，這意味著保證補(bǔ)丁的及時更新、消除不必要的服務(wù)，以及使用強(qiáng)大的密碼。對于消除紅色代碼病毒的舉措方面，安全廠商大都是在病毒發(fā)作后，才開始對其圍追堵截。與之相對反的是只有賽門鐵克一家在2001年

10、6月20日發(fā)布了Enterprise Security Manager (ESM)可對IIS弱點做風(fēng)險管理，利用它可阻止紅色代碼蠕蟲。由于ESM的發(fā)布幾乎正是在紅色病毒被發(fā)現(xiàn)前一個月（在7/16/01），這使得ESM的用戶能夠在6月紅色蠕蟲通過網(wǎng)絡(luò)傳播之前就可以評估和修補(bǔ)他們的系統(tǒng)而最終逃過了一劫。紅色代碼只是互聯(lián)網(wǎng)威脅的一個開始，但是否每一次都能有廠商未雨綢繆推出最新產(chǎn)品，是否用戶都能對即將到來的重大威脅保持高度警惕而提前防范，這就需要用戶與廠商共同努力。附：蠕蟲病毒小常識蠕蟲是一種潛在威脅的病毒程序，它通過創(chuàng)建任意的IP地址序列自行傳播。然而其隨機(jī)選擇攻擊的IP地址并不全是隨機(jī)的。每一臺被這種蠕蟲感染的電腦也會通過同樣的隨機(jī)IP地址來進(jìn)行感染，并且每一臺被這種蠕蟲感染的電腦會搜索相同的IP地址并造成感染。事實上，似乎在產(chǎn)生新的要攻擊的IP地址時，蠕蟲通常處于一種靜態(tài)子體，這種狀況直到下一個受攻擊的目標(biāo)IP地址產(chǎn)生為止。蠕蟲可能會感染任意IP地址的一代，這將會使蠕蟲以更快的速度感染更多的系統(tǒng)。這正是蠕蟲危害的關(guān)鍵所在。一般人都不明白為什么發(fā)生