Microsoft «раскрыла» тайну разгула хакеров
В распространенном на прошлой неделе бюллетене софтверный гигант предупреждал компании о том, что серверы под Windows 2000 подвергаются атакам, причина которых Microsoft не ясна.
Предыдущую версию рекомендаций Microsoft Product Support Services, которую секьюрити-эксперты критиковали за неясность и отсутствие деталей, Microsoft заменила новой. В ней отмечается, что во всех случаях атак хакеры оставили после себя схожие следы: исправления в правилах безопасности — если компьютер-жертва является контроллером домена — и файлы, обозначенные Backdoor.IRC.Flood. Программа Backdoor.IRC.Flood устанавливает клиент Internet Relay Chat (IRC), обеспечивающий неограниченный дистанционный доступ к атакуемому компьютеру.
Кроме того, в этих компьютерах присутствует общий набор файлов: Gg.bat, Seced.bat, Nt32.ini, Ocxdll.exe и Gates.txt. Файл Gg.bat пытается установить связь с другими серверами от имени администратора или пользователя с правами root, а Seced.bat вносит изменения в правила безопасности. Gates.txt содержит список числовых интернет-адресов. Все атакованные компьютеры работали под операционной системой Windows 2000.
Microsoft подчеркивает, что, хотя злоумышленники действуют по одной и той же схеме, нет никаких свидетельств, подтверждающих использование ими какой-либо уязвимости операционной системы. «Похоже, что вход в систему осуществляется с использованием слабых или пустых паролей администратора», — говорится в последней версии рекомендаций. Однако софтверный гигант не объясняет, почему все атакованные компьютеры оказались серверами Windows 2000. Ведь проблема ненадежных паролей не связана с какой-либо одной версией операционной системы.
Для защиты серверов Microsoft рекомендует всем своим заказчикам исключить слабые или пустые пароли, запретить гостевую учетную запись, установить последнее антивирусное ПО, использовать брандмауэр для защиты внутренних серверов и регулярно устанавливать выходящие поправки.
Ваша приватность умирает красиво, но мы можем спасти её.