近期微軟爆出四年以來最嚴(yán)重的安全漏洞,賽迪網(wǎng)安全頻道特邀請安

1、近期微軟爆出四年以來最嚴(yán)重的安全漏洞，賽迪網(wǎng)安全頻道特邀請安全專家張曉兵撰文，為大家解讀此次微軟MS08-067漏洞，并針對于此給出了全面的解決方安全案。第一部分：MS08-067漏洞與趨勢分析2008年10月23日，微軟爆出特大安全漏洞，幾乎影響所有Windows系統(tǒng)，強(qiáng)烈建議廣大用戶及時下載安裝該漏洞補(bǔ)丁。成功利用該漏洞的遠(yuǎn)程攻擊者，可能會利用此問題危及基于MicrosoftWindows系統(tǒng)的安全，并獲取對該系統(tǒng)的控制權(quán)。這是微軟近一年半以來首次打破每月定期發(fā)布安全公告慣例而緊急發(fā)布的更新通告。該安全漏洞可能允許遠(yuǎn)程執(zhí)行代碼，如果受影響的系統(tǒng)收到了特制偽造的RPC請求。在Microsof

2、tWindows2000、WindowsXP和WindowsServer2003系統(tǒng)，攻擊者可以利用此漏洞無需通過認(rèn)證運行任意代碼。這個漏洞還可能被蠕蟲利用，此安全漏洞可以通過惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，并且攻擊者可以獲取完整權(quán)限，因此該漏洞很可能會被用于制作蠕蟲以進(jìn)行大規(guī)模的攻擊。受影響的操作系統(tǒng)如下：WindowsXPProfessionalx64EditionMicrosoftWindows2000ServicePack4WindowsXPServicePack2WindowsXPServicePack3WindowsXPProfessionalx64EditionWindowsXPP

3、rofessionalx64EditionServicePack2WindowsServer2003ServicePack1WindowsServer2003ServicePack2WindowsServer2003x64EditionWindowsServer2003x64EditionServicePack2WindowsServer2003SP1（用于基于Itanium的系統(tǒng)）WindowsServer2003SP2（用于基于Itanium的系統(tǒng)）WindowsVista和WindowsVistaServicePack1WindowsVistax64Edition和WindowsVist

4、ax64EditionServicePack1WindowsServer2008（用于32位系統(tǒng)）WindowsServer2008（用于基于x64的系統(tǒng)）WindowsServer2008（用于基于Itanium的系統(tǒng)）Windows7Beta（用于32位系統(tǒng)）Windows7Betax64EditionWindows7Beta（用于基于Itanium的系統(tǒng)）得到此消息后，安天網(wǎng)絡(luò)安全研究與應(yīng)急處理中心（AntiyCERT）進(jìn)行了緊急的研究，并制定了相應(yīng)的解決方案。根據(jù)應(yīng)急處理有關(guān)條例中“遭遇到能遠(yuǎn)程主動發(fā)起針對主流桌面操作系統(tǒng)的默認(rèn)開放端口的掃描，并能對有漏洞直接獲得系統(tǒng)權(quán)限”和“漏洞可以

5、被利用用以作為蠕蟲的主動傳播機(jī)制”兩個標(biāo)準(zhǔn)，安天將本次應(yīng)急響應(yīng)級別直接定級為最高級別A級。這是安天最近1年來的首次A級預(yù)警，并已向有關(guān)部門和自身用戶進(jìn)行了通報。此外，在微軟發(fā)布補(bǔ)丁之前相關(guān)攻擊已經(jīng)被少量捕獲，溢出代碼在補(bǔ)丁發(fā)放日已經(jīng)公開，而且在當(dāng)天已經(jīng)有應(yīng)急組織捕獲到有關(guān)樣本。從目前的情況看，已經(jīng)在較長的時間里沒有類似機(jī)制漏洞出現(xiàn)。目前各應(yīng)急組織、運營商、用戶準(zhǔn)備不足，因此應(yīng)該警惕根據(jù)該漏洞制造的病毒在近期大規(guī)模爆發(fā)。對于該漏洞在未來一段時間內(nèi)的發(fā)展趨勢，安天認(rèn)為該漏洞可能造成病毒感染數(shù)量的顯著上升、可能導(dǎo)致盜號竊密事件的顯著上升、可能短時間內(nèi)造成傀儡主機(jī)數(shù)量的增長并產(chǎn)生新的僵尸網(wǎng)絡(luò)、可能關(guān)聯(lián)

6、造成網(wǎng)絡(luò)探測、掃描、DDoS攻擊事件的增加及垃圾郵件的傳播。由于服務(wù)器系統(tǒng)相關(guān)防護(hù)比較嚴(yán)格，受到的影響相對較小，其直接攻擊可能會帶動掛馬事件的小幅上升，但不會有重大影響。其對掛馬的關(guān)聯(lián)影響可能主要表現(xiàn)在攻擊者可能在短時間內(nèi)獲取更多的探測節(jié)點，從而找到更多的可注入WEB節(jié)點。在地域形式上，國內(nèi)用戶受影響程度要遠(yuǎn)高于歐美地區(qū)，這是因為國內(nèi)用戶使用的操作系統(tǒng)版本受該漏洞影響比率要遠(yuǎn)高于歐美戶。而且受到近期Windows黑屏事件影響，部分用戶可能會關(guān)閉補(bǔ)丁升級機(jī)制。另外，中國大量使用的一些盜版定制系統(tǒng)，破壞了windows系統(tǒng)的一些內(nèi)建安全機(jī)制。這些情況都會導(dǎo)致國內(nèi)的潛在疫情要遠(yuǎn)高于國外。第二部分：M

7、S08-067漏洞的終端用戶解決方案這是一個針對139、445端口的RPC服務(wù)進(jìn)行攻擊的漏洞，可以直接獲取系統(tǒng)控制權(quán)。根據(jù)微軟的消息，該攻擊無法穿透DEP機(jī)制的保護(hù)，對正版用戶，該漏洞對XPSP2以上版本（含SP2）和Server2003SP1（含SP1）系統(tǒng)無效，因此主要受到威脅的用戶應(yīng)該是Windows2000和WindowsXPSP2以前版本用戶。但由于一些盜版?zhèn)鞑ブ?，被人為降低了安全級別或者修改過安全機(jī)制，因此除了上述版本的用戶也有可能受到攻擊。據(jù)安天介紹，一些常規(guī)的解決思路是，當(dāng)有重大遠(yuǎn)程漏洞發(fā)生時，對于不需要實時連接的系統(tǒng)，可以考慮先斷網(wǎng)檢測安全配置，然后采用調(diào)整防火墻和安全策略的

8、方式保證聯(lián)網(wǎng)打補(bǔ)丁時段的安全，然后再進(jìn)行補(bǔ)丁升級。一、桌面與工作站用戶的安全配置方案桌面系統(tǒng)主要以瀏覽、下載、游戲、工作等與用戶直接操作交互為主要應(yīng)用方式，其多數(shù)網(wǎng)絡(luò)操作為用戶主動對外發(fā)起連接，而不是憑借本地監(jiān)聽端口為外部用戶提供服務(wù)。桌面系統(tǒng)如果不提供共享打印，不需要在局域網(wǎng)游戲（如CS、FIFA等）中作為主機(jī)使用，可以通過設(shè)置為禁止發(fā)布發(fā)起連接模式，來阻斷所有向本主機(jī)發(fā)起的連接。進(jìn)行有關(guān)設(shè)置不會影響到操作者的瀏覽、聊天、下載、在線視頻、常見網(wǎng)游等操作。進(jìn)行這樣的設(shè)置不僅可以阻斷MS08-067攻擊，而且可以阻斷所有相同針對主機(jī)固定端口的攻擊，缺點是如果主機(jī)提供打印共享、網(wǎng)絡(luò)共享目錄等服務(wù)則

9、會失效，在CS、FIFA等游戲中無法作為host主機(jī)使用，還可能與藍(lán)波寬帶撥號程序沖突。1、Windows自帶防火墻的相關(guān)配置步驟1：在控制面板中找到防火墻。步驟2：選擇更改設(shè)置，此時Vista系統(tǒng)的安全機(jī)制可能需要灰屏確認(rèn)，請選擇是。步驟3：啟動防火墻并選擇阻止所有傳入連接。2、其它防火墻的安全設(shè)置如果Windows系統(tǒng)的防火墻不支持本項設(shè)置，可通過其他防火墻實現(xiàn)，以安天盾防火墻免費工具為例。步驟1：通過單擊Windows開始菜單中安天安全中心項目，或者單擊托盤中的安天安全中心圖標(biāo)，啟動有關(guān)配置。步驟2：在安天安全中心界面上點擊設(shè)置。步驟3：將策略選擇為系統(tǒng)初裝。二、不需要開放RPC服務(wù)的服

10、務(wù)器安全配置方案網(wǎng)絡(luò)服務(wù)器用戶以固定端口對外進(jìn)行服務(wù)，因此不能采用阻斷所有傳入連接的方式進(jìn)行配置，否則會失效。而從WindowNTServer到Server2008，不需要開放RPC服務(wù)器的用戶可以不依賴任何安全工具，僅憑借WindowsServer自身安全機(jī)制既可實現(xiàn)屏蔽，如果僅是直接關(guān)閉RPC服務(wù)，會給本機(jī)管理帶來一些麻煩。步驟1：點擊右鍵，選擇網(wǎng)絡(luò)連接屬性。步驟2：點擊Internet協(xié)議（TCP/IP）屬性。步驟3：在彈出的Internet協(xié)議（TCP/IP）屬性對話框中點擊“高級”。步驟4：對TCP/IP篩選中點擊屬性。步驟5：在TCP/IP篩選中配置允許訪問的端口，只要不包含TCP

11、139和445則MS08-067RPC攻擊失效。三、需要開放RPC服務(wù)的服務(wù)器安全配置方案需要開放RPC服務(wù)的服務(wù)器，如網(wǎng)絡(luò)打印、網(wǎng)絡(luò)共享和一些RPC通訊調(diào)用的節(jié)點，不能夠通過上述關(guān)閉端口的方式，否則會造成無效。可以轉(zhuǎn)而采用打補(bǔ)丁、打開DEP策略，或安裝主機(jī)IPS的方法。下面介紹一下系統(tǒng)DEP保護(hù)配置的方法。步驟1：我的電腦右鍵點擊屬性，點擊“高級”頁中的“設(shè)置”按鈕。步驟2：設(shè)定數(shù)據(jù)執(zhí)行保護(hù)策略，修改后重新啟動電腦。在這里，進(jìn)行不同的選擇會有不同的效果，如果選擇“僅為基本W(wǎng)indows程序和服務(wù)啟用DEP”功能，則可以擋住本次RPC攻擊，也可以擋住目前主流的針對Windows開放端口的攻擊。

12、在獲得一定的安全性的情況下，保證系統(tǒng)的兼容性。但是缺點是不能保護(hù)類似IE瀏覽器、Outlook等比較脆弱的互聯(lián)網(wǎng)應(yīng)用程序，不能防范類似掛馬注入的攻擊。如果選擇“為除下列選定程序之外的所有程序和服務(wù)啟用DEP”功能，則在上述效果的基礎(chǔ)上，對Web掛馬、各種應(yīng)用軟件插件注入都有很好的效果，具有更強(qiáng)的系統(tǒng)安全性，不過缺點是與部分應(yīng)用程序沖突，但可以通過將沖突的程序設(shè)置為例外來解決。 四、安裝相應(yīng)補(bǔ)丁，解決安全隱患 根據(jù)自己系統(tǒng)情況尋找地址安裝單一補(bǔ)丁，是一個有效修補(bǔ)漏洞并規(guī)避微軟黑屏策略影響的方法。 微軟的補(bǔ)丁都可以離線安裝，可以選擇將有漏洞的系統(tǒng)斷網(wǎng)，從安全的系統(tǒng)上下載補(bǔ)丁再用移動存儲復(fù)制到有漏洞

13、的系統(tǒng)下。 本次MS08-067嚴(yán)重漏洞各系統(tǒng)補(bǔ)丁地址如下： 中文操作系統(tǒng)KB958644補(bǔ)丁下載地址： Windows Vista 安全更新程序 (KB958644) Windows Server 2008 x64 Edition 安全更新程序 (KB958644) Windows Server 2003 x64 Edition 安全更新程序 (KB958644) Windows Server 2003 安全更新程序 (KB958644) Windows Server 2008 安全更新程序 (KB958644) Windows 2000 安全更新程序 (KB958644) 用于基于 x64

14、 的系統(tǒng)的 Windows Vista 安全更新程序(KB958644) Windows XP 安全更新程序 (KB958644) 英文操作系統(tǒng)KB958644補(bǔ)丁下載地址： Security Update for Windows 2000 (KB958644) Security Update for Windows Server 2003 x64 Edition (KB958644) Security Update for Windows 7 Pre-Beta for Itanium-based Systems (KB958644) Security Update for Windows X

15、P x64 Edition (KB958644) Security Update for Windows Vista (KB958644) Security Update for Windows Server 2003 for Itanium-based Systems (KB958644) Security Update for Windows 7 Pre-Beta (KB958644) Security Update for Windows Server 2008 x64 Edition (KB958644) Security Update for Windows 7 Pre-Beta x

16、64 Edition (KB958644) Security Update for Windows XP (KB958644) Security Update for Windows Server 2008 for Itanium-based Systems (KB958644) Security Update for Windows Server 2003 (KB958644) Security Update for Windows Server 2008 (KB958644) Security Update for Windows Vista for x64-based Systems (

17、KB958644) 第三部分：MS08-067漏洞企業(yè)級安全解決方案 Windows操作系統(tǒng)下的Server服務(wù)在處理RPC請求的過程中存在一個漏洞，遠(yuǎn)程攻擊者可以通過發(fā)送惡意的RPC請求觸發(fā)這個溢出，導(dǎo)致完全入侵用戶系統(tǒng)，以系統(tǒng)權(quán)限執(zhí)行任意指令并獲取數(shù)據(jù)。該漏洞可導(dǎo)致蠕蟲攻擊，類似沖擊波蠕蟲。 一、端口策略 管理員可以通過防火墻和路由設(shè)備阻斷TCP 139和445端口，制止蠕蟲進(jìn)入內(nèi)網(wǎng)。 二、終端配置策略 請參考第二部分內(nèi)容。 三、擴(kuò)展檢測 使用安天AVL SDK反病毒引擎的防火墻和UTM廠商可以使用RPCscan.so模塊。 四、SNORT用戶可添加以下規(guī)則： (相關(guān)鏈接： #by Sec

18、ureworks alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (1)" content:"|0B|" offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" classtype:attempted-admin; reference:u

19、rl, sid:2008690; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (2)" content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"." classtype:attemp

20、ted-admin; reference:url, sid:2008691; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (3)" content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"./

21、./; classtype:attempted-admin; reference:url, sid:2008692; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (4)" content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|&qu

22、ot; content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|" classtype:attempted-admin; reference:url, sid:2008693; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (5)" content:"|1F 00|" content:

23、"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|" classtype:attempted-admin; reference:url, sid:2008694; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound

24、 - MS08-067 (6)" content:"|0B|" offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" classtype:attempted-admin; reference:url, sid:2008695; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack

25、Overflow Inbound - MS08-067 (7)" content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"." classtype:attempted-admin; reference:url, sid:2008696; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft

26、 Windows NETAPI Stack Overflow Inbound - MS08-067 (8)" content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"././; classtype:attempted-admin; reference:url, sid:2008697; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"

27、ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (9)" content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|" classtype:attempted-admin; reference:url, sid:2008698; rev:1;) a

28、lert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (10)" content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|" class

29、type:attempted-admin; reference:url, sid:2008699; rev:1;) alert udp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 - Known Exploit Instance" content:"|00 2e 00 2e 00 2f 00 2e 00 2e 00 2f 00 30 30 30 30 30 30 30 30 30 3

30、0 30 30 30 30 30 30 30 30 87|" classtype:attempted-admin; reference:url, sid:2008700; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (11)" flow:established,to_server; content:"|0B|" offset:2

31、; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" classtype:attempted-admin; reference:url, sid:2008701; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (12)" flow:established

32、,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"." classtype:attempted-admin; reference:url, sid:2008702; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Over

33、flow Inbound - MS08-067 (13)" flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"/./; classtype:attempted-admin; reference:url, sid:2008703; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:&quo

34、t;ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (14)" flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|" classtype:attempted-admin; refere

35、nce:url, sid:2008704; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (15)" flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" cont

36、ent:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|" classtype:attempted-admin; reference:url, sid:2008705; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (16)" flow:established,to_server; content:"|

37、0B|" offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" classtype:attempted-admin; reference:url, sid:2008706; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (17)"

38、; flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"." classtype:attempted-admin; reference:url, sid:2008707; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows

39、 NETAPI Stack Overflow Inbound - MS08-067 (18)" flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"././; classtype:attempted-admin; reference:url, sid:2008708; rev:1;) alert tcp $EXTERNAL_NET any -> $HOM

40、E_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (19)" flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|" classtype:atte

41、mpted-admin; reference:url, sid:2008709; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (20)" flow:established,to_server; content:"|1F 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6

42、E E1 88|" content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|" classtype:attempted-admin; reference:url, sid:2008710; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (21)" flow:established,to_serv

43、er; content:"|0B|" offset:2; depth:1; content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" classtype:attempted-admin; reference:url, sid:2008711; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound -

44、 MS08-067 (22)" flow:established,to_server; content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"." classtype:attempted-admin; reference:url, sid:2008712; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOI

45、T Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (23)" flow:established,to_server; content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"/./; classtype:attempted-admin; reference:url, sid:2008713; rev:1;) alert tcp $EXTERNAL_

46、NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (24)" flow:established,to_server; content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 2F 00 2E 00 2E 00 2F|&qu

47、ot; classtype:attempted-admin; reference:url, sid:2008714; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (25)" flow:established,to_server; content:"|20 00|" content:"|C8 4F 32 4B 70 16 D3 0

48、1 12 78 5A 47 BF 6E E1 88|" content:"|00 2E 00 2E 00 5C 00 2E 00 2E 00 5C|" classtype:attempted-admin; reference:url, sid:2008715; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"ET EXPLOIT Microsoft Windows NETAPI Stack Overflow Inbound - MS08-067 (26)" flow:established,to_server; content