salve a tutti,
c'e' un simaptico individuo (o server o bot, chi piu' ne ha piu' ne metta) che a intervalli reoglari viene parato dal mio firewall mentre cerca di effettuare una chiamata sulla porta 135... se non sbaglio quella porta e' per l'RPC quindi cosa sta cercando di fare?
ciao a tutti
ATTACCO DI TIPO DOS
Data
28/03/2003
Sistemi interessati
Microsoft Windows nelle versioni : NT4 - 2000 - XP.
Descrizione
IIn questi giorni la Microsoft ha individuato una nuova vulnerabilità nel
protocollo RPC (Remote Procedure Call). La funzione di questo protocollo consiste nella possibilità di dialogare tra computer remoti, attraverso un server, per poter funzionare il protocollo RPC adopera un ulteriore protocollo detto "Endpoint Mapper" che mantiene una mappa delle porte usate dai servizi RPC. L'Endpoint Protocol normalmente è in "listening" sulla "porta" 135 la quale, normalmente, viene bloccata dai firewall.
Impatto
La vulnerabilità potrebbe permettere ad un "attacker" di creare
messaggi RPC modificati, indirizzati all'Endpoint Mapper causando così il blocco di tutti i servizi basati sul protocollo RPC e permettendogli, eventualmente, di lanciare un attacco di tipo DOS.
Soluzione
Si consiglia di installare la patch scaricabile presso il seguente
indirizzo:
Windows 2000:
http://microsoft.com/downloads/ details.aspx?displaylang=it&FamilyID=BD55EB38-A5DE-4810- 90F7-097C5B4B9919;
Windows XP 32 bit Edition.
http://microsoft.com/downloads/ details.aspx?displaylang=it&FamilyID=94213569-3258-4439- 9AE7-5D86813B4D9E;
Windows XP 64 bit Edition
http://microsoft.com/downloads/ details.aspx?FamilyId=E3FB88CF-FA48-4426-A4F8- D18D8D4D2295&displaylang=en
Questo è quello che ho trovato in rete, spero ti sia utile.
ma se si disabilita questo RPC cosa succede?
grazie dei link, aggiornero' al piu' presto il pc anche se il firewall si comporta gia' ottimamente :gren:
Cos'e' un RPC? RPC (Remote Procedure Call) e' un particolare servizio
introdotto dalla Sun Microsystem (almeno per quanto riguarda quella parte
che impiega i protocolli UDP e TCP a livello di trasporto e che viene
indicato sotto il termine ONC acronimo di Open Network Computing).
Effettivamente questa non e' l'unica implementazione (ce ne sono 3), tuttavia
discutero' basandomi su questa.
Vediamo innanzitutto a cosa serve. In poche parole abbiamo due sistemi: il
nostro locale e uno remoto.
Attraverso un client per un determinato rpc, il nostro computer
contatta quello remoto per eseguire una chiamata di procedura: cio' come
viene spiegato in breve sull'ottimo libro di Richard W. Stevens sullo
sviluppo del software di networking, equivale a permettere al nostro sistema
di eseguire del codice su quello remoto
Vediamo come
funziona una connessione su servizio rpc.
1) Il client (C) chiama una procedura locale sul suo sistema nota come
stub del client. Questa procedura servira' per standardizzare i pacchetti
per il server (S): la loro costruzione prendera' il nome di marshaling.
2) Tali messaggi vengono passati a S utilizzando il protocollo UDP o TCP a
seconda del servizio rpc.
3) S avvia una sua procedura di stub che permette di disassemblare tali
pacchetti e di ricostruirli in un formato piu' congeniale al server e
alla sua architettura.
4) La stub del server esegue la procedura richiesta dal client con i
parametri passati dal client.
5) Il server restituisce il risultato di tale chiamata alla sua stub.
6) La stub del server manda il risultato della procedura al client
con il protocollo di trasporto utilizzato.
7) La stub del client riceve il pacchetto/i contenenti i risultati della
procedura visti come se fossero stati eseguiti sul client.
Permessi di invio
Rispondi quotando