CISP-3-應(yīng)急響應(yīng)

1、信息平安管理應(yīng)急響應(yīng)中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心（CNITSEC）CISP-3應(yīng)急響應(yīng)（培訓(xùn)樣稿）內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效勞的指標(biāo)應(yīng)急響應(yīng)效勞案例2應(yīng)急響應(yīng)效勞背景應(yīng)急響應(yīng)效勞的誕生CERT/CC1988年Morris蠕蟲(chóng)事件直接導(dǎo)致了CERT/CC的誕生。美國(guó)國(guó)防部(DoD)在卡內(nèi)基梅隆大學(xué)的軟件工程研究所成立了計(jì)算機(jī)應(yīng)急響應(yīng)組協(xié)調(diào)中心(CERT/CC)以協(xié)調(diào)Internet上的平安事件處理。目前,CERT/CC是DoD資助下的抗毀性網(wǎng)絡(luò)系統(tǒng)方案(Networked Systems Survivability

2、Program)的一局部,下設(shè)三個(gè)部門(mén)：事件處理、脆弱性處理、計(jì)算機(jī)平安應(yīng)急響應(yīng)組（CSIRT）。在CERT/CC 成立之后的14年里,共處理了28萬(wàn)多封Email,2萬(wàn)多個(gè)熱線 ,其運(yùn)行模式幫助了80多個(gè)CSIRT組織的建設(shè)。3應(yīng)急響應(yīng)效勞背景CERT/CC效勞的內(nèi)容平安事件響應(yīng)平安事件分析和軟件平安缺陷研究缺陷知識(shí)庫(kù)開(kāi)發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具教育與培訓(xùn)：CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員平安培訓(xùn)指導(dǎo)其它CSIRT（也稱(chēng)IRT、CERT）組織建設(shè)4內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效

3、勞的指標(biāo)應(yīng)急響應(yīng)效勞案例5事件響應(yīng)事件響應(yīng)：對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅平安的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息平安生命周期的必要組成局部。這個(gè)生命周期包括：對(duì)策、檢測(cè)和響應(yīng)。網(wǎng)絡(luò)平安的開(kāi)展日新月異,誰(shuí)也無(wú)法實(shí)現(xiàn)一勞永逸的平安效勞。6應(yīng)急響應(yīng)描述當(dāng)平安事件發(fā)生需要盡快解決,而一般技術(shù)人員又無(wú)法迅速處理的時(shí)候,就需要平安效勞商提供一種發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的有效效勞手段來(lái)解決問(wèn)題。這種效勞手段可以描述為：客戶(hù)的主機(jī)或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡,而又無(wú)法當(dāng)時(shí)解決和追查來(lái)源時(shí),平安效勞商根據(jù)客戶(hù)的要求以最快的速度趕到現(xiàn)場(chǎng),協(xié)助客戶(hù)解決問(wèn)題,查找后門(mén),保存證據(jù)和追查來(lái)源。 7什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)也

4、叫緊急響應(yīng),是平安事件發(fā)生后迅速采取的措施和行動(dòng),它是平安事件響應(yīng)的一種快速實(shí)現(xiàn)方式 。應(yīng)急響應(yīng)效勞是解決網(wǎng)絡(luò)系統(tǒng)平安問(wèn)題的有效平安效勞手段之一。8應(yīng)急響應(yīng)的目的應(yīng)急響應(yīng)效勞的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性,阻止和減小平安事件帶來(lái)的影響。9應(yīng)急響應(yīng)效勞的特點(diǎn)技術(shù)復(fù)雜性與專(zhuān)業(yè)性各種硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件知識(shí)經(jīng)驗(yàn)的依賴(lài)性由IRT中的人提供效勞,而不是一個(gè)硬件或軟件產(chǎn)品 突發(fā)性強(qiáng)需要廣泛的協(xié)調(diào)與合作10內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效勞的指標(biāo)應(yīng)急響應(yīng)效勞案例11應(yīng)急響應(yīng)組的組建什么是應(yīng)急響應(yīng)組（IRT）

5、應(yīng)急響應(yīng)組就是一個(gè)或更多的個(gè)人組成的團(tuán)隊(duì),能快速執(zhí)行和處理與平安有關(guān)的事件的任務(wù)。為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專(zhuān)業(yè)知識(shí)提高效率提高先期主動(dòng)防御能力更加適合于滿(mǎn)足機(jī)構(gòu)的需要提高聯(lián)絡(luò)功能提高處理制度障礙方面的能力12應(yīng)急響應(yīng)組的分類(lèi)國(guó)際間的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織愿意付費(fèi)的任何用戶(hù)產(chǎn)品用戶(hù)網(wǎng)絡(luò)接入用戶(hù)企業(yè)部門(mén)、用戶(hù)商業(yè)IRT網(wǎng)絡(luò)效勞提供商 IRT廠商 IRT企業(yè) /政府 IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國(guó)銀行、 公安部如CERT/CC, FIRST如CNCERT/CC13國(guó)外應(yīng)急響應(yīng)組建設(shè)情況國(guó)外平安事件響應(yīng)組（CSIRT）建設(shè)情況FedCI

6、RC、BACIRT、DFN-CERT等DOE CIAC、 AFCERT、NavyCIRT亞太地區(qū)：AusCERT、SingCERT等FIRST（1990）FIRST為IRT組織、廠商和其他平安專(zhuān)家提供一個(gè)論壇,討論平安缺陷、入侵者使用的方法和技巧、建議等,共同的尋找一個(gè)可接受的方案。120多個(gè)正式成員組織,覆蓋20多個(gè)國(guó)家和地區(qū)。FIRST的大量工作都是由來(lái)自各成員組織的志愿者完成的,從FIRST 中獲益的比例與IRT愿意提供的奉獻(xiàn)成比例。14國(guó)內(nèi)應(yīng)急響應(yīng)組建設(shè)情況計(jì)算機(jī)網(wǎng)絡(luò)根底設(shè)施已經(jīng)嚴(yán)重依賴(lài)國(guó)外由于地理、語(yǔ)言、政治等多種因素,平安效勞不可能依賴(lài)國(guó)外的組織國(guó)內(nèi)的應(yīng)急響應(yīng)效勞組織還處在建設(shè)階段

7、CCERT（1999年5月）,中國(guó)教育科研網(wǎng)緊急響應(yīng)組NJCERT（1999年10月）,中國(guó)教育網(wǎng)華東（北）地區(qū)網(wǎng)絡(luò)平安事件響應(yīng)組中國(guó)電信ChinaNet平安小組解放軍,公安部商業(yè)網(wǎng)絡(luò)平安效勞公司中國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC信息產(chǎn)業(yè)部平安管理中心 ,2000年3月,北京15國(guó)際應(yīng)急響應(yīng)組網(wǎng)址美國(guó) 清華 歐洲 新加坡 臺(tái)灣省 印尼 瑞士 澳大利亞 德國(guó) 日本 馬來(lái)西亞 韓國(guó) 墨西哥 菲律賓 16內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效勞的指標(biāo)應(yīng)急響應(yīng)效勞案例17應(yīng)急響應(yīng)效勞的過(guò)程準(zhǔn)備檢測(cè)抑制鏟除恢復(fù)跟蹤18應(yīng)急

8、響應(yīng)效勞的過(guò)程準(zhǔn)備基于威脅建立一組合理的防御/控制措施建立一組盡可能高效的事件處理程序獲得處理問(wèn)題必須的資源和人員建立一個(gè)支持事件響應(yīng)活動(dòng)的根底設(shè)施19應(yīng)急響應(yīng)效勞的過(guò)程檢測(cè)確定事件是已經(jīng)發(fā)生了還是在進(jìn)行當(dāng)中初步動(dòng)作和響應(yīng)選擇檢測(cè)工具,分析異常現(xiàn)象激活審計(jì)功能迅速備份完整系統(tǒng)記錄所發(fā)生事件估計(jì)平安事件的范圍20應(yīng)急響應(yīng)效勞的過(guò)程抑制限制攻擊的范圍,同時(shí)限制了潛在的損失和破壞。抑制策略完全關(guān)閉所有系統(tǒng)；將網(wǎng)絡(luò)斷開(kāi)；修改所有防火墻和路由器的過(guò)濾規(guī)則,拒絕來(lái)自看起來(lái)是 發(fā)起攻擊的主機(jī)的所有的流量；封鎖或刪除被攻擊的登錄賬號(hào)；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別；設(shè)置誘餌效勞器作為陷阱；關(guān)閉被利用的效勞；還擊

9、攻擊者的系統(tǒng)等。21應(yīng)急響應(yīng)效勞的過(guò)程鏟除平安事件被抑制后,找出事件根源并徹底鏟除,即鏟除事件的原因。22應(yīng)急響應(yīng)效勞的過(guò)程恢復(fù)把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等徹底地復(fù)原到它們正常的任務(wù)狀態(tài)。23應(yīng)急響應(yīng)效勞的過(guò)程跟蹤回憶事件處理過(guò)程總結(jié)經(jīng)驗(yàn)教訓(xùn)為管理或法律目的收集損失統(tǒng)計(jì)信息建立或補(bǔ)充自己的應(yīng)急方案24內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效勞的指標(biāo)應(yīng)急響應(yīng)效勞案例25應(yīng)急響應(yīng)效勞的形式遠(yuǎn)程應(yīng)急響應(yīng)效勞本地應(yīng)急響應(yīng)效勞26遠(yuǎn)程應(yīng)急響應(yīng)效勞客戶(hù)通過(guò) 、Email、傳真等方式請(qǐng)求平安事件響應(yīng),應(yīng)急響應(yīng)組通過(guò)相同的方式為客

10、戶(hù)解決問(wèn)題。經(jīng)與客戶(hù)網(wǎng)絡(luò)相關(guān)人員確認(rèn)后,客戶(hù)方提供主機(jī)或設(shè)備的臨時(shí)支持賬號(hào),由應(yīng)急響應(yīng)組遠(yuǎn)程登陸主機(jī)進(jìn)行檢測(cè)和效勞,問(wèn)題解決后出具詳細(xì)的應(yīng)急響應(yīng)效勞報(bào)告。遠(yuǎn)程系統(tǒng)無(wú)法登陸,或無(wú)法通過(guò)遠(yuǎn)程訪問(wèn)的方式替客戶(hù)解決問(wèn)題,客戶(hù)確認(rèn)后,轉(zhuǎn)到本地應(yīng)急相應(yīng)流程,同時(shí)此次遠(yuǎn)程響應(yīng)無(wú)效,歸于本地應(yīng)急響應(yīng)類(lèi)型。27本地應(yīng)急響應(yīng)效勞應(yīng)急響應(yīng)組在第一時(shí)間趕往客戶(hù)網(wǎng)絡(luò)系統(tǒng)平安事件的事發(fā)地點(diǎn),在現(xiàn)場(chǎng)為客戶(hù)查找事發(fā)原因并解決相應(yīng)問(wèn)題,最后出具詳細(xì)的應(yīng)急響應(yīng)效勞報(bào)告。 28應(yīng)急響應(yīng)效勞的內(nèi)容病毒事件響應(yīng)系統(tǒng)入侵事件響應(yīng)網(wǎng)絡(luò)故障事件響應(yīng)拒絕效勞攻擊事件響應(yīng)29內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)

11、程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效勞的指標(biāo)應(yīng)急響應(yīng)效勞案例30應(yīng)急響應(yīng)效勞的指標(biāo)遠(yuǎn)程應(yīng)急響應(yīng)效勞 在確認(rèn)客戶(hù)的應(yīng)急響應(yīng)請(qǐng)求后2小時(shí)內(nèi),交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無(wú)論是否解決,進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡(jiǎn)報(bào),直到此次響應(yīng)效勞結(jié)束。 本地應(yīng)急響應(yīng)效勞 對(duì)本地范圍內(nèi)的客戶(hù),3-6小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)；對(duì)異地的客戶(hù),24小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場(chǎng)。 31內(nèi)容提要應(yīng)急響應(yīng)效勞背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)效勞的過(guò)程應(yīng)急響應(yīng)效勞的形式和內(nèi)容應(yīng)急響應(yīng)效勞的指標(biāo)應(yīng)急響應(yīng)效勞案例32應(yīng)急響應(yīng)效勞案例國(guó)家XX局的主機(jī)入侵應(yīng)急響應(yīng)XX證券公司“紅色代碼病毒事件應(yīng)急響應(yīng)XX電信公司網(wǎng)絡(luò)拒絕效勞攻擊事件

12、應(yīng)急響應(yīng)XX省教育網(wǎng)拒絕效勞攻擊事件應(yīng)急響應(yīng)33國(guó)家XX局應(yīng)急響應(yīng)事件描述 該主機(jī)位于國(guó)家XX局的X層計(jì)算機(jī)辦公室,在2001年11月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫(kù)被刪除記錄的事件,最后該網(wǎng)站管理員認(rèn)定事件可疑,隨即向國(guó)家XX局網(wǎng)絡(luò)平安管理部門(mén)報(bào)告。主機(jī)用途 做為國(guó)家XX局計(jì)算中心內(nèi)部網(wǎng)站使用,負(fù)責(zé)發(fā)布計(jì)算中心內(nèi)部信息。操作系統(tǒng)Windows 2000 Server SP2,網(wǎng)站運(yùn)行IIS5,后臺(tái)數(shù)據(jù)庫(kù)采用ACCESS。34國(guó)家XX局應(yīng)急響應(yīng)現(xiàn)場(chǎng)分析 主要依據(jù)是效勞器的IIS日志,利用查找功能在該日志的文件夾里查找是否有被攻擊的行為。 查找漏洞攻擊的關(guān)鍵字后發(fā)現(xiàn)沒(méi)有找到任何攻擊行為的征兆,只有幾次NIM

13、UDA病毒發(fā)作的記錄,和此次攻擊事件無(wú)關(guān)。然后查找該主機(jī)數(shù)據(jù)庫(kù)的關(guān)鍵字mynews.mdb后發(fā)現(xiàn)該數(shù)據(jù)庫(kù)曾經(jīng)在11月被來(lái)自8 IP地址的的瀏覽者非法下載。進(jìn)一步的跟蹤該IP地址的瀏覽記錄后發(fā)現(xiàn),該IP地址的訪問(wèn)者之后曾經(jīng)非法訪問(wèn)了該網(wǎng)站的在線管理系統(tǒng)。由于攻擊者下載的網(wǎng)站數(shù)據(jù)庫(kù)中明文存放著該管理員的管理密碼,經(jīng)和管理員確認(rèn)后認(rèn)定來(lái)自此IP地址的訪問(wèn)并非遠(yuǎn)程管理員,所以初步疑心為攻擊者。35國(guó)家XX局應(yīng)急響應(yīng)掃描分析發(fā)現(xiàn)效勞器采用FAT32的磁盤(pán)格式,建議采用NTFS格式的磁盤(pán)分區(qū)提供更高的平安可靠性能；沒(méi)有采取端口訪問(wèn)限制策略,遠(yuǎn)程主機(jī)可以隨意連接到電腦上的開(kāi)放端口；開(kāi)放的SNMP協(xié)議暴露效勞

14、器主機(jī)的配置和使用情況；沒(méi)有禁止的IPC共享連接可以遠(yuǎn)程得到主機(jī)的網(wǎng)絡(luò)和系統(tǒng)配置文件。36國(guó)家XX局應(yīng)急響應(yīng)原因分析 由于此名攻擊者是直接下載的xx局計(jì)算中心網(wǎng)站的數(shù)據(jù)庫(kù)文件,之前沒(méi)有做任何攻擊和猜解嘗試,說(shuō)明該攻擊者非常熟悉該網(wǎng)站文件和數(shù)據(jù)庫(kù)結(jié)構(gòu),疑心是內(nèi)部知情人員所為。響應(yīng)建議由于主機(jī)的數(shù)據(jù)庫(kù)名稱(chēng)已經(jīng)暴露,所以建議把該數(shù)據(jù)庫(kù)文件名稱(chēng)改為新的名稱(chēng)；由于目標(biāo)主機(jī)完全采用的是默認(rèn)安裝所以建議對(duì)該主機(jī)做一次全面的平安配置；建議主機(jī)打全最新的平安補(bǔ)丁；嚴(yán)格限制該主機(jī)的物理訪問(wèn)權(quán)限。37XX證券公司應(yīng)急響應(yīng)事件描述 2001年8月10日下午4點(diǎn)30分, XX證券信息中心緊急 :證券公司網(wǎng)絡(luò)傳輸速度緩慢

15、,嚴(yán)重影響正常業(yè)務(wù)運(yùn)作。5點(diǎn)10分,三名應(yīng)急技術(shù)人員到達(dá)xx證券信息中心機(jī)房。 現(xiàn)場(chǎng)分析 通過(guò)檢查 “冰之眼入侵檢測(cè)系統(tǒng)的日志和使用網(wǎng)絡(luò)監(jiān)聽(tīng)設(shè)備監(jiān)聽(tīng)網(wǎng)絡(luò)流量,發(fā)現(xiàn)機(jī)房中一臺(tái)清算業(yè)務(wù)的效勞器網(wǎng)絡(luò)連接異常,經(jīng)過(guò)仔細(xì)檢查后,可以做出明確判斷： XX證券內(nèi)部網(wǎng)系統(tǒng)已經(jīng)遭受“紅色代碼蠕蟲(chóng)的攻擊,有大量Windows效勞器受到感染,并且正在以非?？斓乃俣冗M(jìn)行掃描和攻擊,造成網(wǎng)絡(luò)堵塞,嚴(yán)重影響了網(wǎng)絡(luò)傳輸速度。 38XX證券公司應(yīng)急響應(yīng)原因分析 “紅色代碼蠕蟲(chóng)不是普通的病毒,不會(huì)通過(guò)郵件等方式進(jìn)行傳播,很有可能是因?yàn)閾芴?hào)上網(wǎng)等方式傳播進(jìn)內(nèi)部網(wǎng),造成“紅色代碼蠕蟲(chóng)在證券內(nèi)部網(wǎng)泛濫,嚴(yán)重影響正常的業(yè)務(wù)運(yùn)作。 處理

16、過(guò)程證券信息中心迅速做出反響,通過(guò) 、Email等方式,將我公司發(fā)布的關(guān)于防范“紅色代碼蠕蟲(chóng)的公揭發(fā)布給各個(gè)營(yíng)業(yè)部,并限定了問(wèn)題處理期限。我公司應(yīng)急響應(yīng)人員與信息中心技術(shù)人員相互配合,于當(dāng)晚將信息中心的效勞器進(jìn)行了仔細(xì)的檢查,對(duì)相關(guān)效勞器做了完備的防范措施。 39XX證券公司應(yīng)急響應(yīng)響應(yīng)結(jié)論對(duì)于新出現(xiàn)的攻擊方式應(yīng)進(jìn)行及時(shí)的跟蹤并進(jìn)行相應(yīng)的處理。攻擊事件發(fā)生后,應(yīng)提高反響速度及處理速度,把可能出現(xiàn)的影響減至最小。建立全網(wǎng)的監(jiān)控體系,及時(shí)發(fā)現(xiàn)問(wèn)題。建立xx證券系統(tǒng)應(yīng)急響應(yīng)體系。嚴(yán)格網(wǎng)絡(luò)平安制度,防止病毒、蠕蟲(chóng)等通過(guò)Internet傳播進(jìn)內(nèi)部網(wǎng)系統(tǒng)。 40XX電信公司應(yīng)急響應(yīng)事件描述 2001年3月

17、xx電信公司遭受不明拒絕效勞攻擊 ,造成了效勞器所在網(wǎng)段的堵塞,導(dǎo)致效勞器不能正常訪問(wèn)的后果。 現(xiàn)場(chǎng)分析 監(jiān)聽(tīng)和仔細(xì)分析被攻擊效勞器,然后利用攻擊效勞器上的日志及相應(yīng)的偵測(cè)手段,最后確定攻擊者采用的是國(guó)內(nèi)出現(xiàn)的一種新型攻擊軟件 。 經(jīng)過(guò)仔細(xì)查找以及分析,發(fā)現(xiàn)攻擊者的來(lái)源,確認(rèn)攻擊者IP地址為202.105.xxx.xxx,來(lái)自xx省,初步判斷為撥號(hào)用戶(hù),攻擊時(shí)間為2001年3月16日凌晨2點(diǎn)5點(diǎn)。 41XX電信公司應(yīng)急響應(yīng)原因分析 本攻擊軟件可以在互聯(lián)網(wǎng)上自動(dòng)查找存在Windows操作系統(tǒng)Unicode漏洞的效勞器,然后利用unicode的漏洞,通過(guò)URL地址欄發(fā)送攻擊指令如下： ping l

18、 攻擊包長(zhǎng)度 n 重復(fù)次數(shù) 攻擊目標(biāo) 例如：ping l 65000 n 500 08 大量的互聯(lián)網(wǎng)主機(jī)同時(shí)用巨大的ping包針對(duì)某臺(tái)效勞器進(jìn)行攻擊,造成了效勞器所在網(wǎng)段的堵塞,導(dǎo)致效勞器不能正常訪問(wèn)的后果。 42XX電信公司應(yīng)急響應(yīng)處理過(guò)程 針對(duì)效勞器的Unicode漏洞進(jìn)行修補(bǔ),補(bǔ)丁說(shuō)明如下：Windows NT 4.0簡(jiǎn)體中文版 IIS4 Unicode補(bǔ)丁prmcan4i.exeWindows 2000 簡(jiǎn)體中文版 IIS5 Unicode補(bǔ)丁 q269862_w2k_sp2_x86_cn.exe 在效勞器上直接運(yùn)行此程序,然后按提示執(zhí)行,效勞器重新啟動(dòng)后補(bǔ)丁生效。 43XX電信公司應(yīng)急響應(yīng)響應(yīng)結(jié)論 因?yàn)榇朔N攻擊手段會(huì)暴露攻擊者IP地址和攻擊點(diǎn)IP地址,同時(shí)被利用作為攻擊點(diǎn)的效勞器會(huì)因?yàn)樨?fù)荷問(wèn)題而產(chǎn)生IIS效勞停止或反響緩慢的病癥,攻擊者因權(quán)限問(wèn)