2011 年 8 月 31 日

据报道,互联网出现了一种通过 Microsoft 的远程桌面协议 (RDP) 传播的新型蠕虫。此蠕虫通过扫描受感染主机的子网找到其他运行 RDP 的主机,然后尝试使用预先配置的一组用户名(包括“administrator”)和密码访问这些主机。Microsoft 指出,攻击者可以远程控制和更新此蠕虫,从而可以命令受感染的主机执行拒绝服务攻击或其他功能。因此,此蠕虫的行为可能会随时间变化。

有关此蠕虫的详细信息(包括检测和清除方法),请参阅:http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A

此威胁可以通过下面的一些基本安全最佳实践来减轻。首先,确保在用户账户中强制执行强密码选择。请注意,AWS 在启动后自动分配给实例的唯一“Administrator”账户密码符合此建议,而且具有足够高的强度,可抵御暴力式密码猜测攻击。如果使用 EC2 Windows 配置服务覆盖这个自动分配的密码,请确保您选择的是强密码。有关创建强密码的 Microsoft 指导意见,请参阅 http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx;有关使用 Windows 配置服务的说明,请参阅:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html

其次,确保只允许合法 RDP 会话应源自的源 IP 地址建立入站 RDP (TCP 3389) 连接。这种访问限制可以通过相应地配置 EC2 安全组来实施。有关如何正确配置和应用安全组的信息和示例,请参阅以下文档:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html