Re: [ml] Attacco RPC

Davide Denicolo wrote:
> Ciao a tutti,
> accendendo oggi il computer ho notato stranamente che alcuni processi con
> diritto SYSTEM venivano generati in automatico con nomi CMD.exe e FTP.exe;
> randomicamente mi veniva segnalato un buffer overflow nel svchost.exe
> facendo piantare senza troppi problemi il sistema.
> Ho attivato lo sniffer sul canale ed ho notato diversi tentativi di attacco
> su porta 445 compiuti con successo. Il provider che uso è Libero.it su ip
> 151.60.32.x
> 
> Allego a questa mail anche i log dello sniff; il sistema non è
> aggiornatissimo ma ricordo bene di averlo patchato quando tempo fa si
> presentò il bug su RPC.
> 
> Per il momento con un workaround ho inserito una regola di block nel
> firewall del router; cosa può essere?

Non è un workaround, è una cosa che avresti già dovuto fare e che
dovrai mantenere anche se/quando avrai risolto il problema degli
overflow. RPC non è un servizio da esporre a Internet:
https://www2.sans.org/top20/#w4 (punto 4.5 in particolare).

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org