检测到 [SID: 23179] MSRPC Server Service BO。 已禁止来自此应用程序的通信: C:/WINDOWS/system32/ntoskrnl.exe 解决办法

最新推荐文章于 2023-03-21 16:56:41 发布
最新推荐文章于 2023-03-21 16:56:41 发布
阅读量8.8k 收藏 1
点赞数
文章标签: service server c 杀毒软件 工具 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhfeng/article/details/6094664
版权

 

Sep ntoskrnl 通信被禁止处理方法

 

1,  病毒日志 :

检测到 [SID: 23179] MSRPC Server Service BO

已禁止来自此应用程序的通信 : C:/WINDOWS/system32/ntoskrnl.exe

解读 :

该条日志表示来自于外部的应用程序通过 MSRPC 协议访问本地的程序 ntoskrnl.exe , 由于检测到攻击行为被 SEP 的入侵防护功能所阻断

2,  病毒介绍 :

请参见如下网址 , 该病毒存在 abcd 四种变种 , 我所模拟的是 b 变种

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3aWin32%2fConficker.B

说明 :

该蠕虫病毒类似于之前的震荡波和冲击波病毒 , 利用 rpc 协议进行远程溢出 , 执行远程控制 . 被攻击主机在没有防护的条件下会导致 svchost 服务异常 , 多个服务停止 , 最终只是服务器运营异常 .

3,  病毒文件 :

病毒会在 c:/windows/system32 文件夹下产生一个随机文件名的动态库文件

4,  杀毒软件

经过近两天的实际测试几乎绝大部分杀毒软件都不能有效检测出该蠕虫病毒并进行清除 .

5,  清除工具 :

微软恶意软件删除工具 , 它是目前经过验证的唯一有效工具 .

下载地址 :

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356

6,  清除方法 :

双击 windows-kb890830-v3.14.exe, 启动扫描 , 完成后会自动清除该蠕虫病毒

7,  如下是被攻击主机的日志 :

 

8,  如下是微软恶意软件扫描处理结果

 

9,  预防措施

安装 kb958644 系统补丁 (ms08-076).

提示 : 安装过该补丁的系统能抵御此类远程攻击 , 但是不能抵御该类蠕虫感染 .

10,              建议

通过与策略或者 wsus 服务器部署恶意删除工具到客户端 .

lhfeng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
\system32\ntoskrnl.exe损坏或丢失_ 解决方案
02-22
\system32\ntoskrnl.exe损坏或丢失_ 解决方案
MSRPC(MicroSoft Remote Procedure Call,微软远程过程调用)
LYSM
03-04 8791
背景 偶然发现普通管理员(非 Administrator),在右键管理员权限运行 A.exe 时,使用 ProcessMonistrator 观察这个进程被 explorer 创建,但是 hook explorer 的进程创建 api 却拦截不到 A.exe 的创建,之后尝试全局注入 dll ,发现创建 A.exe 的竟然是 svchost.exe ! 回头看 ProcessMonistrator 中 explorer 的创建进程时的调用栈,发现里面有很多 rpc 相关的函数,所以应该是 explorer
Windows漏洞:MS08-067
Nanyeer的博客
03-21 1600
对MS08-067漏洞(远程命令执行漏洞)的演示
一种MSRPC协议Longivity test的方法
跳着Samba的狮子
08-01 5502
MSRPC是Microsoft基于DCE RPC扩展后的一种RPC协议,中间加入了很多
SYMANTEC导致WebLogic 10.3间歇性无法连接ORACLE数据库【OS Attack: MSRPC Server Service RPC】...
weixin_33774883的博客
03-07 139
工业互联网安全测试技术:应用测试实验文档.docx
06-24
MS08-067漏洞是通过 MSRPC over SMB 通道调用 Server 服务程序中的 NetPathCanonicalize 函数时触发的,而 NetPathCanonicalize 函数在远程访问其他主机时,会调用 NetpwPathCanonicalize 函数,对远程访问的路径...
impacket:Impacket是用于网络协议的Python类的集合
02-05
Impacket专注于提供对数据包的低级编程访问,并且对于某些协议(例如SMB1-3和MSRPC),协议实现本身。 数据包可以从头开始构建,也可以从原始数据中进行解析,而面向对象的API使处理协议深层次结构变得简单。 该库...
工业互联网安全测试技术:系统测试实验文档.docx
06-24
MS08-067漏洞是通过 MSRPC over SMB 通道调用 Server 服务程序中的 NetPathCanonicalize 函数时触发的,而 NetPathCanonicalize 函数在远程访问其他主机时,会调用 NetpwPathCanonicalize 函数,对远程访问的路径...
j-Interop : Java - COM Interoperability-开源
04-25
MSRPC(Microsoft Remote Procedure Call)是DCOM使用的底层协议。j-Interop通过实现这种协议,使得Java应用无需依赖于本机代码(如JNI,Java Native Interface)就能直接与COM组件通信。这意味着开发者可以在纯Java...
j-interop:http的克隆
05-18
j-Interop是Java开源库(在EPLv1.0下),该库实现DCOM有线协议(MSRPC)以支持开发可与任何COM组件互操作的Pure,双向,非本机Java应用程序。 该实现本身纯粹是用Java编写的,并且不使用Java本机接口(JNI)提供COM...
微软的 MS RPC 手册
04-23
微软的 MS RPC 手册,原始文档,可了解RPC
135、137、138、139和445端口
weixin_45116657的博客
12-04 8457
目录 TCP135端口 UDP137、138端口 TCP139、445端口 首先,这几个端口都是与文件共享和打印机共享有关的端口,而且在这几个端口上经常爆发很严重的漏洞。比如危害全球的永恒之蓝,就是利用的445端口。 首先我们来了解一些基础知识: SMB:(ServerMessageBlock)Windows协议族,用于文件打印共享的服务; NBT:(NETBIOSOver...
针对内网的信息搜集
CSDN
08-24 4989
信息收集(Information Gathering),信息收集是指通过各种方式获取所需要的信息,在整个渗透测试环节中,信息搜集是整个渗透过程中最为重要的一环,信息搜集可占据整个渗透测试80%左右的工作量,同样的如果尽可能搜集更多的信息,对于后期的渗透工作是非常有帮助的,本章将针对内网(域)环境进行信息的搜集工作,以作为学习笔记收录。
渗透测试——网络服务渗透攻击
热门推荐
YT的博客
02-14 1万+
网络服务渗透攻击指的是:在之前的博客中描述的内存攻击中,以远程主机运行的某个网络服务程序为目标,向该目标服务开放端口发送内嵌恶意内容并符合该网络服务协议的数据包,利用网络服务程序内部的安全漏洞,劫持目标程序控制流,实施远程执行代码等行为,最终达到控制目标系统的目的。 以 Windows 系统平台为例,根据网络服务攻击面的类别来区分,可将网络服务渗透攻击分为以下三类: 针对 Windows 系统自...
服务扫描
_LsOutLook
04-28 1235
通过上一篇得到正在开放的端口,是不能绝对的认定哪个端口对应的就是某个服务软件或者协议的端口,这不是绝对的。 下面扫描一些对应端口所开放的服务。 Banner信息 通过banner信息可以获得包括软件开发商,软件名称,服务类型,版本号等信息,有可能通过已知的漏洞和弱点直接渗透到目标主机,当然所有的信息都可能不是真实的,所有有必要结合一些另类的服务识别方法,比如,特征识别和响应字段,而不同的...
MS08-067漏洞分析与复现
qq_43443410的博客
07-30 2441
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据.
网络安全kali web安全 Kali之msf简单的漏洞利用
xueshenlaila的博客
03-08 1万+
信息收集 靶机的IP地址为:192.168.173.136 利用nmap工具扫描其开放端口、系统等 整理一下目标系统的相关信息 系统版本:Windows server 2003 开放的端口及服务: 21/tcp ftp 135/tcp msrpc 139/tcp netbios-ssn 445/tcp microsoft-ds 777/tcp multiling-http 1025/tcp NFS-or-IIS 1026/tcp LSA-or-nterm 1029/tcp ms
开机出现文件windows root\system32\ntoskrnl.exe的另类解决办法
weixin_33970449的博客
11-27 1万+
一般的复制文件方法就不说了,我的这个是因为拷贝ntoskrnl.exe还提示错误的解决办法 发生这种问 题主要可能有以下原因:Boot.ini 文件的 [Boot Loader] 部分中的 Default 值丢失或无效、Ntoskrnl.exe文件丢失或损坏、Boot.ini 文件中的分区路径设置不正确。可以这样解决:使用Windows XP安装光盘启动...
NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析
weixin_34417200的博客
09-19 7092
本文讲的是NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析, 1. 概述 2017 年 4 月 14 日,黑客组织Shadow Brokers 公布了一批新的NSA(美国国家安全局)黑客工具。这批黑客工具中含有可以配合使用的一个攻击框架和多个攻击漏洞。这次的工具主要面向的是Windows系统,攻击框架非常易用,漏...
msrpc DCE/RPC服务枚举漏洞
最新发布
05-22
msrpc DCE/RPC服务枚举漏洞是指攻击者通过枚举目标主机上的DCE/RPC服务,获取敏感信息或执行远程命令的漏洞。该漏洞通常存在于Windows系统中,攻击者可以利用这个漏洞来扫描网络上的主机,发现运行着DCE/RPC服务的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值