1、面對(duì)“美麗莎”、“愛(ài)蟲(chóng)”等蠕蟲(chóng)病毒、媒體曾經(jīng)大喊“狼來(lái)了”，然而人們感覺(jué)好象什么也沒(méi)有發(fā)生但是這次確實(shí)是真實(shí)的。紅色代碼 II是大規(guī)模破壞和信息丟失的一個(gè)開(kāi)始，而這種程度是我們前所未見(jiàn)的。對(duì)于我們所依賴(lài)的互聯(lián)網(wǎng)結(jié)構(gòu)而言，這是第一次重大的威脅紅碼蠕蟲(chóng)病毒危害的深層透視紅色代碼及其變異的危害7月16日，首例紅色代碼病毒被發(fā)現(xiàn)，8月4日紅色代碼v3, 也稱(chēng)為紅色代碼II又被發(fā)現(xiàn)，它是原始紅色代碼蠕蟲(chóng)的變異，這些蠕蟲(chóng)病毒都是利用“緩存溢出”對(duì)其他網(wǎng)絡(luò)服務(wù)器進(jìn)行傳播。紅色代碼及其變異紅色代碼I和紅色代碼II均是惡意程序，它們均可通過(guò)公用索引服務(wù)漏洞感染Microsoft IIS Web服務(wù)器，并試圖隨機(jī)

2、繁殖到其他Microsoft IIS服務(wù)器上。最初原始的紅色代碼帶有一個(gè)有效負(fù)載曾致使美國(guó)白宮網(wǎng)站服務(wù)器服務(wù)中斷。紅色代碼II 比原來(lái)的紅色代碼I危險(xiǎn)得多，因?yàn)樗惭b了通路可使任何人遠(yuǎn)程接入服務(wù)器并使用管理員權(quán)限執(zhí)行命令，且行蹤無(wú)法確定。紅色代碼II帶有不同的有效負(fù)載，它允許黑客遠(yuǎn)程監(jiān)控網(wǎng)站服務(wù)器。來(lái)自主要網(wǎng)絡(luò)安全廠商賽門(mén)鐵克公司的安全響應(yīng)中心的全球請(qǐng)求救援信號(hào)表明，大量的網(wǎng)站服務(wù)器（IIS）受到了感染。這正進(jìn)一步說(shuō)明，紅色代碼II被評(píng)估認(rèn)為具有很高的危害性。紅色代碼II通過(guò)使用Microsoft IIS索引服務(wù)，使用與原始紅色代碼蠕蟲(chóng)相似的滲透和繁殖技術(shù)。而且，紅色代碼II還能夠?yàn)檫h(yuǎn)程系統(tǒng)對(duì)

3、準(zhǔn)接入打開(kāi)方便之門(mén)。之所以能夠危及主機(jī)系統(tǒng)安全，是因?yàn)榧t色代碼II在網(wǎng)站服務(wù)器上創(chuàng)建了一個(gè)秘密通道，可允許某個(gè)人通過(guò)網(wǎng)絡(luò)控制你的系統(tǒng)。令人恐怖的是，人們還發(fā)現(xiàn)這種蠕蟲(chóng)代碼程序如此成功：一旦受到感染，人們只需掃描計(jì)算機(jī)的80端口就能發(fā)現(xiàn)大量危及安全的文件包，而無(wú)需已公布的病毒列表。盡管紅色代碼的危害性令人恐懼，但仍未引起輿論的深層重視。值得注意的是，由前一段時(shí)間媒體的報(bào)道并沒(méi)有深層剖析原始紅色代碼蠕蟲(chóng)及其變異間的區(qū)別，媒體對(duì)報(bào)道這類(lèi)病毒的深度也不夠，這可能會(huì)使用戶(hù)有一種已經(jīng)安全的錯(cuò)覺(jué)，使得他們集中精力對(duì)付紅色代碼變種的勁頭減弱，但是這種變異的危險(xiǎn)性遠(yuǎn)遠(yuǎn)大于原始蠕蟲(chóng)。如果用戶(hù)沒(méi)有對(duì)其Window

4、NT或Window 2000服務(wù)器進(jìn)行完全評(píng)估，它們可能更容易被入侵，從而導(dǎo)致癱瘓。這些Web服務(wù)器有良好的帶寬，我們可以想象分布的服務(wù)機(jī)構(gòu)中斷會(huì)對(duì)帶寬造成多么惡劣的影響。而而且這些Web服務(wù)器與其他重要的系統(tǒng)如信用卡交易服務(wù)器和秘密文件等也有潛在的依賴(lài)關(guān)系，這將危及其他機(jī)器的安全。還要明確的是，一個(gè)易被紅色代碼攻擊的系統(tǒng)不一定是IIS。客戶(hù)必須了解，當(dāng)一個(gè)標(biāo)準(zhǔn)操作環(huán)境安裝網(wǎng)站服務(wù)器時(shí)，微軟操作環(huán)境默認(rèn)安裝，這一系統(tǒng)也因此容易受蠕蟲(chóng)攻擊。除非用戶(hù)明確設(shè)定關(guān)掉此類(lèi)服務(wù)，或命令不初始安裝IIS。測(cè)定一臺(tái)服務(wù)器是否容易被攻擊的唯一辦法是評(píng)估其是否安裝了IIS，假如是的話(huà)，最好采用修補(bǔ)方法或移開(kāi)IIS

5、予以補(bǔ)救。紅色代碼可怕的原因揭秘受紅色代碼II感染的成百上千臺(tái)機(jī)器都在互聯(lián)網(wǎng)上做過(guò)廣告，這使得黑客很容易就能得到大批受感染的機(jī)器名單，然后遠(yuǎn)程登陸到這些機(jī)器上，得到一個(gè)命令提示符，隨后黑客便可在這些機(jī)器上執(zhí)行任意的命令了。此時(shí)，黑客極有可能利用這次機(jī)會(huì)來(lái)全面替代這些文件包。他們可能會(huì)使用自動(dòng)錄入工具退出并安裝根源工具包（root包），發(fā)布拒絕服務(wù)代理到易感染紅色代碼的文件包，并對(duì)它們進(jìn)行修改，如此一來(lái)其他人也無(wú)法得到它。實(shí)現(xiàn)這些非常簡(jiǎn)單，紅色代碼II文件包宣布它們是易于攻入的，黑客不需要非法進(jìn)入，他只需遠(yuǎn)程登錄該進(jìn)程并獲得一個(gè)命令提示符，那么他便可為所欲為。所有這些黑客都可以用自己的電腦就能幫

6、他完成不斷連接到存在安全隱患的文件包，安裝根源工具包，進(jìn)行修改，然后轉(zhuǎn)向另一臺(tái)機(jī)器。黑客可以堆積上千個(gè)根源文件包，每一個(gè)進(jìn)程都是一個(gè)分布式的“拒絕服務(wù)”代理。一組300至500個(gè)分布式“拒絕服務(wù)”代理足以使一個(gè)大型互聯(lián)網(wǎng)站點(diǎn)癱瘓。通常情況會(huì)看到黑客每次可以攻擊10,000或更多的服務(wù)代理，這就意味著黑客可以使互聯(lián)網(wǎng)的主要部分如ISP、主要供應(yīng)商和多重互聯(lián)網(wǎng)電子商務(wù)站點(diǎn)同時(shí)癱瘓。 由此可見(jiàn)，紅色代碼的真正危害在于單個(gè)流竄的黑客。拿暴動(dòng)作為比喻，暴動(dòng)中群眾的心理是，一旦暴動(dòng)展開(kāi)，都想?yún)⑴c進(jìn)去，因?yàn)槿藗兛梢杂盟约阂酝荒塥?dú)立采取的方式做想做的事情。有了紅色代碼II蠕蟲(chóng)病毒，黑客會(huì)更加厚顏無(wú)恥，他們

7、可以對(duì)更多的機(jī)器直接取得控制，因?yàn)槲募呀?jīng)是易于攻入的了，并且被紅色代碼 II蠕蟲(chóng)病毒暴露在那里，安裝根源工具包和擁有這些文件包也不再感覺(jué)是違背倫理的?？偠灾?，他們不用“破門(mén)而入”，只是“進(jìn)入”而已。因?yàn)樽钇D苦的部分已經(jīng)由蠕蟲(chóng)病毒完成了。而對(duì)防范者而言，一般用戶(hù)都感覺(jué)旁若無(wú)人，因?yàn)槲覀兯械淖⒁饬Χ挤旁谌湎x(chóng)病毒上，而沒(méi)有放在到處流竄安裝root包的單個(gè)黑客上?？梢哉f(shuō)，面對(duì)“美麗莎”、“愛(ài)蟲(chóng)”等蠕蟲(chóng)病毒、媒體曾經(jīng)大喊“狼來(lái)了”，然而什么也沒(méi)有發(fā)生但是這次確實(shí)是真實(shí)的。紅色代碼 II是大規(guī)模破壞和信息丟失的一個(gè)開(kāi)始，而這種程度是我們前所未見(jiàn)的。這對(duì)于我們所依賴(lài)的互聯(lián)網(wǎng)結(jié)構(gòu)而言，堪稱(chēng)是第一次重大

8、的打擊。如何解除紅色代碼的武裝現(xiàn)在，廣大的受害者都陷于未能對(duì)這些成百上千臺(tái)機(jī)器進(jìn)行修補(bǔ)而是進(jìn)行操作系統(tǒng)重新安裝的尷尬境地。此時(shí)受害者還不知道自己的機(jī)器上運(yùn)行著什么。他們面臨的選擇只有兩種：要么重新安裝操作系統(tǒng)并進(jìn)行修補(bǔ)；要么進(jìn)行非常詳盡的分析并安裝補(bǔ)丁。但是是否我們肯定必須要這么做嗎？修補(bǔ)這些文件包需要花費(fèi)多長(zhǎng)的時(shí)間？這樣做的意義何在這些問(wèn)題煩之又煩。任何處身在互聯(lián)網(wǎng)環(huán)境中并享受服務(wù)的人都有責(zé)任采取合理的步驟來(lái)保護(hù)他們的系統(tǒng)，確保各種基礎(chǔ)設(shè)施的完好以及開(kāi)銷(xiāo)的合理。網(wǎng)絡(luò)安全專(zhuān)家賽門(mén)鐵克主張使用最佳實(shí)施方案作為控制風(fēng)險(xiǎn)的最有效途徑。這意味著您的系統(tǒng)要與一整套基于80-20規(guī)則被驗(yàn)證后的系統(tǒng)設(shè)置保持

9、統(tǒng)一。無(wú)論其是否通過(guò)最佳標(biāo)準(zhǔn)的審核，或是在實(shí)際設(shè)置過(guò)程中參照其它標(biāo)準(zhǔn)，每一個(gè)構(gòu)造項(xiàng)目都會(huì)有一個(gè)業(yè)務(wù)成本。這也是80-20規(guī)則為何顯得格外重要的原因，因?yàn)樗軌蜃R(shí)別一個(gè)系統(tǒng)所需的最重要轉(zhuǎn)變是什么，比如說(shuō)賽門(mén)鐵克的ESM最佳實(shí)施策略。它將著重審核最關(guān)鍵的能夠?yàn)槟陌踩度霂?lái)收益的系統(tǒng)設(shè)置。80-20規(guī)則對(duì)于信息安全十分適用，它強(qiáng)調(diào)了您系統(tǒng)中80%危及安全的問(wèn)題有20%來(lái)自于您系統(tǒng)的不合理構(gòu)造。用學(xué)術(shù)的語(yǔ)言來(lái)說(shuō)，這意味著保證補(bǔ)丁的及時(shí)更新、消除不必要的服務(wù)，以及使用強(qiáng)大的密碼。對(duì)于消除紅色代碼病毒的舉措方面，安全廠商大都是在病毒發(fā)作后，才開(kāi)始對(duì)其圍追堵截。與之相對(duì)反的是只有賽門(mén)鐵克一家在2001年

10、6月20日發(fā)布了Enterprise Security Manager (ESM)可對(duì)IIS弱點(diǎn)做風(fēng)險(xiǎn)管理，利用它可阻止紅色代碼蠕蟲(chóng)。由于ESM的發(fā)布幾乎正是在紅色病毒被發(fā)現(xiàn)前一個(gè)月（在7/16/01），這使得ESM的用戶(hù)能夠在6月紅色蠕蟲(chóng)通過(guò)網(wǎng)絡(luò)傳播之前就可以評(píng)估和修補(bǔ)他們的系統(tǒng)而最終逃過(guò)了一劫。紅色代碼只是互聯(lián)網(wǎng)威脅的一個(gè)開(kāi)始，但是否每一次都能有廠商未雨綢繆推出最新產(chǎn)品，是否用戶(hù)都能對(duì)即將到來(lái)的重大威脅保持高度警惕而提前防范，這就需要用戶(hù)與廠商共同努力。附：蠕蟲(chóng)病毒小常識(shí)蠕蟲(chóng)是一種潛在威脅的病毒程序，它通過(guò)創(chuàng)建任意的IP地址序列自行傳播。然而其隨機(jī)選擇攻擊的IP地址并不全是隨機(jī)的。每一臺(tái)被這種蠕蟲(chóng)感染的電腦也會(huì)通過(guò)同樣的隨機(jī)IP地址來(lái)進(jìn)行感染，并且每一臺(tái)被這種蠕蟲(chóng)感染的電腦會(huì)搜索相同的IP地址并造成感染。事實(shí)上，似乎在產(chǎn)生新的要攻擊的IP地址時(shí)，蠕蟲(chóng)通常處于一種靜態(tài)子體，這種狀況直到下一個(gè)受攻擊的目標(biāo)IP地址產(chǎn)生為止。蠕蟲(chóng)可能會(huì)感染任意IP地址的一代，這將會(huì)使蠕蟲(chóng)以更快的速度感染更多的系統(tǒng)。這正是蠕蟲(chóng)危害的關(guān)鍵所在。一般人都不明白為什么發(fā)生