|
วิธีการกำจัด Code Red II Worm
(9 สิงหาคม 2544)
หลังจากที่ Code Red เวอร์ชันแรกๆ สามารถ
compromise ระบบที่ติดตั้ง WindowsNT4.0/2000 ที่ไม่ได้ติดตั้ง patch
จาก Microsoft มันอาศัยช่องโหว่ของ Buffer Overflow ใน IIS Indexing
Service DLL ในการกระจายตัวได้ในช่วงเดือนกรกฏาคมที่ผ่านมา ได้มีการค้นพบ
Code Red II ซึ่งยังอาศัยช่องโหว่เดิม แต่เพิ่มความร้ายกาจ โดยการสร้าง
backdoor ไว้ในระบบจำนวนมาก (รายละเอียดโปรดอ่านใน http://www.eeye.com/html/Research/Advisories/AL20010804.html)
และสำหรับวิธีการป้องกันนั้นยังเหมือนกับ Code Red ตัวเก่าคือ
สำหรับการติดตั้ง patch นั้น จะต้องติดตั้ง service
pack ล่าสุดก่อน ทั้งนี้โดย Windows NT นั้น สามารถดาวน์โหลด SP6a
ได้ที่
http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/allSP6.asp
สำหรับ Windows 2000 ทุกเวอร์ชัน ดาวน์โหลด SP2 ได้ที่
http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
หลังจากการติดตั้ง service pack ล่าสุดแล้ว ให้ดาวน์โหลด
patch จาก Microsoft ดังนี้
WindowsNT4.0 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows2000 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
แต่สำหรับในกรณีที่เครื่องของท่านถูกคุกคามโดย
Code Red II แล้ว และต้องการกำจัดตัว Code Red II ออกจากระบบก็สามารถทำได้โดยดาวน์โหลดเครื่องมือจาก
Microsoft ที่ http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
(รายละเอียดของเครื่องมือนี้มีให้อ่านได้ที่ http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/redfix.asp
) ซึ่ง Microsoft ได้ให้คำแนะนำคร่าวๆ ว่า สามารถกู้ระบบคืนได้จาก
Code Red II เท่านั้น ไม่สามารถกู้ระบบได้จาก worm ที่เลียนแบบซึ่งอาจจะมีความแตกต่างกันได้
สำหรับคำแนะนำของ ThaiCERT คือ เราไม่สามารถทราบได้เลยว่า
เครื่องของเราถูก attack โดย Code Red II ตัวจริงหรือไม่ เพราะ worm
เหล่านี้รวมทั้งตัวเลียนแบบด้วย จะใช้ signature ที่คล้ายๆ กัน เพียงแต่การปฏิบัติการหลัง
compromise ได้สำเร็จนั้นอาจจะมีความแตกต่างกันในปลีกย่อย ทั้งนี้เนื่องจากเราไม่สามารถทราบได้เลยว่ามี
backdoor หลงเหลือในระบบของเรากี่ตัว ดังนั้นจึงขอแนะนำให้ท่าน format
ระบบของท่านใหม่ (ก่อนอื่นควรจะสำรองข้อมูลก่อน)
|
