本文档介绍思科安全入侵检测系统(IDS)如何识别和防止Nimda蠕虫(也称为概念病毒)攻击对Web服务器的危害。 蠕虫的复杂技术工作超出了本公告的范围,在其他地方也有详细记录。Nimda蠕虫的最佳技术说明之一可在CERT® Advisory CA-2001-26 Nimda Worm中找到 。
本文档没有任何特定的要求。
本文档不限于特定的软件和硬件版本。
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
Nimda蠕虫是一种混合蠕虫和病毒,在Internet上大肆传播。要了解Nimda和Cisco IDS缓解其传播的能力,必须定义以下两个术语:
蠕虫是指在不人工干预的情况下自动传播的恶意代码。
病毒是指通过某种类型的人工干预传播的恶意代码,例如当您打开电子邮件、浏览受感染的网站或手动执行受感染的文件时。
Nimda蠕虫实际上是同时具有蠕虫和病毒特征的混合体。Nimda以多种方式感染,其中大多数需要人为干预。Cisco IDS主机传感器阻止通过Microsoft Internet Information Server(IIS)漏洞传播的蠕虫类感染方法。 Cisco IDS不会阻止类似病毒的手动感染方法,例如当您打开电子邮件附件、浏览受感染的网站或手动执行受感染的文件时。
Cisco IDS主机传感器可防止目录遍历攻击,包括Nimda蠕虫使用的攻击。当蠕虫尝试危害受Cisco IDS保护的Web服务器时,攻击会失败,服务器不会受到损害。
以下Cisco IDS主机传感器规则会阻止Nimda蠕虫成功:
IIS目录遍历(四个规则)
IIS目录遍历和代码执行(四个规则)
IIS双十六进制编码目录遍历(四条规则)
Cisco IDS主机传感器还针对未授权的Web内容更改进行防御,因此它不允许蠕虫修改网页以将自身传播到其他服务器。
Cisco IDS符合标准安全最佳实践,可保护Web服务器免受Nimda的侵害。这些最佳实践规定不要从生产Web服务器读取电子邮件或浏览Web,也不要在服务器上打开网络共享。Cisco IDS主机传感器可防止Web服务器通过HTTP和IIS漏洞受到攻击。上述最佳实践可确保Nimda蠕虫不会通过某些手动方式到达Web服务器。
Cisco IDS网络传感器识别Web应用攻击,包括Nimda蠕虫使用的攻击。网络传感器能够识别攻击,并提供有关受影响或受损主机的详细信息,以隔离Nimda感染。
以下Cisco IDS网络传感器警报会触发:
WWW WinNT cmd.exe访问(SigID 5081)
IIS CGI双解码(SigID 5124)
WWW IIS Unicode攻击(SigID 5114)
IIS点执行攻击(SigID 3215)
IIS点崩溃攻击(SigID 3216)
操作员看不到按名称标识Nimda的警报。当Nimda尝试使用不同的漏洞来危害目标时,他们会看到一系列警报。警报标识已受危害的主机的源地址,应与网络隔离、清理和修补。
按照以下步骤防止Nimda蠕虫:
应用Microsoft Outlook、Outlook Express、Internet Explorer和IIS的最新更新(可从Microsoft获得) 。
使用最新补丁更新病毒扫描软件以缓解病毒传播。
注意:您可以下载最新的病毒补丁,以保护您的PC免受感染。如果您的PC已被感染,则此病毒补丁允许您手动扫描PC的硬盘并清除计算机感染。
部署Cisco IDS以缓解威胁、遏制感染并保护服务器。