Имя сервиса : Microsoft Remote Procedure Call
Серьезная уязвимость
Удаленное выполнение команд (ms04-012)
Описание
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Решение
Установите обновление:
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
Ссылки
CVE (CAN-2003-0813) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0813
CVE (CAN-2004-0116) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0116
CVE (CAN-2003-0807) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0807
CVE (CAN-2004-0124) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0124
Доступна информация
Запущена служба DCOM
Описание
На компьютере запущена служба DCOM (Distributed Component Object Model).
Решение
Отключить службу DCOM, если она действительно не нужна.
Ссылки
CVE (CAN-1999-0658) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-0658
| Сервис ? | порт 554 / tcp |
Информация
Сервис не определен
Имя сервиса устанавливаемого на этом порту по умолчанию : rtsp
| Сервис Wingate Engine | порт 808 / tcp |
Информация
Имя сервиса : Wingate Remote Control Service - административная часть
| Сервис RPC mstask.exe | порт 1027 / tcp |
Информация
Имя сервиса : Task Scheduler Engine
Доступна информация
Scheduler Service
Описание
Если вы не используете планировщик задач, то разумным будет отключить его, т.к. данный сервис часто используется атакующими для запуска вредоносного кода.
Решение
Заблокируйте сервис следующим ключём реестра:
HKEY_LOCAL_MACHINE
SYSTEM\CurrentControlSet\Services\Schedule
Start = 4
| Сервис ? | порт 1720 / tcp |
Информация
Сервис не определен
Имя сервиса устанавливаемого на этом порту по умолчанию : h323hostcall
| Сервис ? | порт 1723 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 1755 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 2000 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 6666 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 6667 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 6668 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис | порт 7070 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис ? | порт 8081 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему.
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Хост 195.210.129.70 |
| Информация |
Параметры сканирования
| Начало сканирования: | 11:37:57 19.07.2004 |
| Время сканирования: | 00:52:37 |
Доступна информация
Windows NT 4.0
Описание
Вероятная версия операционной системы : Windows NT 4.0
| Сервис FTP выключенный | порт 2 / tcp |
Информация
421 Service not available (The FTP server is not responding.)
| Сервис ? | порт 33 / tcp |
Информация
Сервис не определен.
Имя сервиса устанавливаемого на этом порту по умолчанию : dsp
| Сервис ? | порт 97 / tcp |
Информация
Сервис не определен
Имя сервиса устанавливаемого на этом порту по умолчанию : swift-rvf
** #24 B3200000000486d #13 #10 #17
| Сервис ? | порт 98 / tcp |
Информация
Сервис не определен.
Имя сервиса устанавливаемого на этом порту по умолчанию : tacnews
| Сервис ? | порт 99 / tcp |
Информация
Сервис разрывает соединение при попытке подключения к нему
Вероятно закрыт доступ к этому сервису для IP адреса с которого проводилась проверка.
| Сервис Microsoft RPC | порт 135 / tcp |
Информация
Имя сервиса : Microsoft Remote Procedure Call
Серьезная уязвимость
Удаленное выполнение команд (ms04-012)
Описание
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Решение
Установите обновление:
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
Ссылки
CVE (CAN-2003-0813) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0813
CVE (CAN-2004-0116) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0116
CVE (CAN-2003-0807) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0807
CVE (CAN-2004-0124) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0124
Доступна информация
Запущена служба DCOM
Описание
На компьютере запущена служба DCOM (Distributed Component Object Model).
Решение
Отключить службу DCOM, если она действительно не нужна.
Ссылки
CVE (CAN-1999-0658) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-0658
| Сервис Microsoft RPC | порт 135 / udp |
Информация
Имя сервиса : Microsoft Remote Procedure Call
| Сервис NetBIOS-SSN | порт 137 / udp |
Информация
Имя сервиса : NetBIOS (Network Basic Input/Output System) Session Service Protocol
| Сервис NetBIOS | порт 139 / tcp |
Информация
Имя сервиса : Network Basic Input/Output System
Уязвимость
Список ресурсов
Описание
Список ресурсов хоста
C – пользовательский
D – пользовательский
G – пользовательский
ADMIN$ (Remote Admin) - диск по умолчанию
IPC$ (Remote IPC) - pipe по умолчанию
C$ (Default share) - диск по умолчанию
D$ (Default share) - диск по умолчанию
G$ (Default share) - диск по умолчанию
Всегда следует чётко следить за теми данными, которые пользователь предоставляет для общего доступа.
Решение
Windows:
Отключить доступ по нулевой сессии (см. уязвимость "доступ по нулевой сессии")
Samba:
Разрешить доступ к серверу только зарегестрированным пользователям:
в файле smb.conf изменить ключ security= share на security= user (или security = server или security = domain ).
Уязвимость
Список пользователей ( 1 - 5 )
Описание
Список пользователей хоста :
пользователь : 902
привилегии : Администратор
входов : 1
время последнего подключения : Wed Jul 14 13:59:00 2004
с момента последней смены пароля прошло (дней) : 4
статус аккаунта : срок действия пароля неограничен
пользователь : Administrator
привилегии : Администратор
комментарий : Built-in account for administering the computer/domain
входов : 133
время последнего подключения : Wed Jul 14 23:11:53 2004
время последнего отключения : Tue Jun 29 16:41:32 2004
с момента последней смены пароля прошло (дней) : 278
статус аккаунта : срок действия пароля неограничен
пользователь : but
привилегии : Администратор