今天我为何进不了www.erji.net,大家如何？

汤一松

交易区新帖推荐

大家能进www.erji.net吗？

苏安楠

今天下午网速太慢了，听说是因为：
2003年1月25日下午14点CHINANET因为所谓的美国煞笔客们恶意攻击,陷入瘫痪状态.截至目前为止,由此造成的损失达13亿人民币之多
据中国网络管理处最新消息，由于网通和电信线路全国性断接，位于北京、上海等地的网络服务站停止工作，造成大量网页不能正常打开，网络游戏不能正常登陆。另据消息称：此次网络断接将在6小时后恢复正常。

iLLogiCo

这个........不一样的说法



全球互联网遭病毒袭击 无法访问或速度极慢

--------------------------------------------------------------------------------

http://www.sina.com.cn 2003年01月25日 21:23 新浪科技

　　据CNN网站报道，北京时间今天上午，国际互联网在全球范围内遭受病毒攻击而变慢，从而影响到网民的浏览和email的发送。

　　监控互联网运行的多个网站都报告说发现全球范围内网络速度都变得缓慢。专家称这次的攻击与在2001年夏季造成互联网大面积中断的“红色代码”病毒攻击极其相似。


　　该病毒利用服务器的一个漏洞，伪造假地址向服务器发送大量访问请求，以此阻塞网络，造成无法访问。

　　著名的防病毒软件公司赛门铁克公司预计全球至少有2万2千个系统遭到了攻击。

　　另据报道，韩国全国的因特网服务从25日下午开始出现大面积中断，虽然技术人员努力恢复工作，但到目前为止全国只有10%的网络得到恢复。

　　今天，韩国本地的网络与中国大陆的网站大都无法链接，只有一些西方站点可以登陆但速度极慢。


【评论】【推荐】【大 中 小】【打印】【关闭】


　　新浪天堂隆重发布，百万玩家迎接公开测试

jhj

病毒的说法应该是可信的，因为我这里的局域网也有3台机器感染了病毒，导致了一定程度的网络阻塞。

念苍僧

中国电信.中国铁桶.中国吉通.
由于长征3号卫星失去与地面联系.其所承载运营商中继全部断开.事故正在调查中.请各位用户耐心等待.
另.广电部,教育部.社科院网络连接良好
关于黑客事件的具体详情!
中国骨干线路电信、联通、网通、吉通包括adsl 光纤 拨号上网用户 目前正在遭受约3000名以色列黑客的集体攻击！ 造成全国性的网络瘫痪！
美国黑客今天下午袭击了中国网络中心。现在全中国的宽带速度都超级
超音速 (19:19:33):
1月25日下午14点chinanet因为所谓的美国煞笔客们恶意攻击,陷入瘫痪状态.截至目前为止,由此造成的损失达13亿

念苍僧

　据CNN网站报道，北京时间今天上午，国际互联网在全球范围内遭受病毒攻击而变慢，从而影响到网民的浏览和email的发送。

　　监控互联网运行的多个网站都报告说发现全球范围内网络速度都变得缓慢。专家称这次的攻击与在2001年夏季造成互联网大面积中断的“红色代码”病毒攻击极其相似。


　　该病毒利用服务器的一个漏洞，伪造假地址向服务器发送大量访问请求，以此阻塞网络，造成无法访问。

　　著名的防病毒软件公司赛门铁克公司预计全球至少有2万2千个系统遭到了攻击。

　　另据报道，韩国全国的因特网服务从25日下午开始出现大面积中断，虽然技术人员努力恢复工作，但到目前为止全国只有10%的网络得到恢复。

　　今天，韩国本地的网络与中国大陆的网站大都无法链接，只有一些西方站点可以登陆但速度极慢。

念苍僧

针对昨日全球发生的互联网受攻击导致网络速度变慢一事，国内专业从事网络安全服务的中联绿盟信息技术(北京)有限公司独家授权新浪网发布紧急公告，供广大中国互联网企业及用户参考。公告全文如下：

　　绿盟科技紧急公告(Alert2003-zh-01)


　　Nsfocus安全小组(security@nsfocus.com)http://www.nsfocus.com

　　防范DoS攻击！

　　发布日期：2003-01-25

　　受影响的软件及系统：Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000

　　- Microsoft Windows NT 4.0 SP6a

　　- Microsoft Windows NT 4.0 SP6

　　- Microsoft Windows NT 4.0 SP5

　　- Microsoft Windows NT 4.0

　　- Microsoft Windows 2000 Server SP3

　　- Microsoft Windows 2000 Server SP2

　　- Microsoft Windows 2000 Server SP1

　　- Microsoft Windows 2000

　　综述：绿盟科技安全小组监测到一种针对Microsoft SQL Server 2000的蠕虫正在活跃，危害极大。

　　分析：北京时间2003年01月25日14时许，绿盟科技安全小组监测到忽然发生了世界范围的大规模网络访问速度减慢甚至阻塞的情况，经过绿盟科技安全小组对捕获的数据样本分析和研究，已经明确，这是一种新出现的针对Microsoft SQL Server 2000的蠕虫。

　　该蠕虫本身非常小，仅仅是一段376个字节的数据。利用的安全漏洞是“Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞”(http://www.nsfocus.net/index.php ... amp;amp;bug_id=3148)。

　　蠕虫利用的端口是UDP/1434，该端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

　　当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包含"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。

　　蠕虫溢出成功取得系统控制权后，就开始向随机IP地址发送自身，由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。在绿盟科技安全小组的测试中，和被感染机器在同一网段的每一台分析机每秒钟都收到了近千个数据包。

　　该蠕虫对被感染机器本身并没有进行任何恶意破坏行为，也没有向硬盘上写文件。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成Udp Flood，感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。

　　解决方法：绿盟科技安全小组建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作：

　　1、找到被感染的主机

　　启动网络监视程序(譬如Sniffer Pro)，找到网络中大量发送目的端口为UDP/1434的主机，这些主机极为可能感染了该蠕虫。如果由于蠕虫发出的数据包流量过大导致网络监视程序工作不正常，则可尝试设定规则为捕获一定大小数据后停止捕获。

　　如果不能确定，则认为所有运行Microsoft SQL Server 2000而没有安装补丁程序的机器都是被感染的机器。可尝试使用端口扫描器(例如Nmap)扫描TCP/1433端口来找到运行Microsoft SQL Server的系统(但不能肯定版本是Microsoft SQL Server 2000 )。

　　如果确定本系统内没有可能被感染的机器(譬如一个UNIX网络)则直接进行步骤3即可。

　　2、拔掉被感染主机的网线

　　3、在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问

　　如果该步骤实现有困难可使用系统上的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。

　　4、重新启动所有被感染机器

　　5、插上所有机器的网线

　　6、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack：

　　虽然Microsoft SQL Server 2000 SP2(http://www.microsoft.com/sql/downloads/2000/sp2.asp)就已经解决了该问题，但考虑到在SP2之后又出现了一些严重安全问题，强烈建议安装Microsoft SQL Server 2000 SP3(http://www.microsoft.com/sql/downloads/2000/sp3.asp)。

　　或者至少应该下载针对该漏洞的热修复补丁：

　　http://www.microsoft.com/technet ... lletin/MS02-039.asp

　　注：上述步骤仅供参考。

　　绿盟科技公司产品的冰之眼IDS(http://www.nsfocus.com/homepage/products/nids.htm)早在该漏洞发布时(2002年7月)就已经可以检测此种攻击；RSAS(http://www.nsfocus.com/homepage/products/rsas.htm)也早就可以检测到网络内受该漏洞影响的主机；对于大量的UDP数据流导致的拒绝服务，黑洞(http://www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解决方案之一。

　　附加信息: Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞

　　发布日期：2002-07-25更新日期：2002-07-30

　　受影响系统：Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000

　　- Microsoft Windows NT 4.0 SP6a

　　- Microsoft Windows NT 4.0 SP6

　　- Microsoft Windows NT 4.0 SP5

　　- Microsoft Windows NT 4.0

　　- Microsoft Windows 2000 Server SP2

　　- Microsoft Windows 2000 Server SP1

　　- Microsoft Windows 2000描述：BUGTRAQ ID: 5311CVE(CAN) ID: CAN-2002-0649

　　Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。

　　Microsoft SQL Server 2000的Resolution服务对用户提交的UDP包缺少正确的处理，远程攻击者可以利用这个漏洞进行基于栈的缓冲区溢出攻击。

　　Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

　　当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：

　　HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion

　　攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包含"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。

　　<*来源：NGSSoftware Insight Security Research (nisr@nextgenss.com)

　　链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0291.html

　　http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

　　http://www.ngssoftware.com/advisories/mssql-udp.txt*>

　　建议：临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　*在边界防火墙、网关设备或者SQL Server主机上限制对UDP/1434端口的访问。由于UDP报文的源地址很容易伪造，所以不能简单地限制只允许可信IP访问。

　　厂商补丁：

　　Microsoft---Microsoft已经为此发布了一个安全公告(MS02-039)以及相应补丁:MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)链接：http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

　　补丁下载：

　　* Microsoft SQL Server 2000:

　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

　　参考：

　　http://www.microsoft.com/technet ... amp;amp;bug_id=3148

　　声明

　　本安全公告仅用来描述可能存在的安全问题，中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

　　关于我们

　　中联绿盟信息技术(北京)有限公司成立于2000年3月，是国内专业从事网络安全服务的高科技企业，致力于网络安全技术研究、网络安全产品开发，提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案，并协助建立严密的网络安全制度，提高国内的网络安全水平，为客户提供强有力的安全保障。

　　中联绿盟信息技术(北京)有限公司成立后，其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪，对重大安全问题更成立专项研究小组进行技术攻关，取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验，已经推出了具有国际领先水平的安全产品系列。

　　中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商，提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。

　　中联绿盟信息技术(北京)有限公司联系方式：

　　北京总部：地址：北京市海淀区北洼路4号益泰大厦5层邮编：100089电话：010-68438880传真：010-68437328email：webmaster@nsfocus.com

　　上海分公司：地址：上海市南京西路758号晟新大厦24层A座邮编：200041电话：021-62179591/92传真：021-62176862

　　广州分公司：地址：广州市人民中路555号美国银行中心1702邮编：510180电话：020-81301251,81301252传真：020-81303835

cyrax

具体原因看这里：
http://www.nsfocus.com/alert.htm


__________________