2011 年 8 月 31 日
報告新的網際網路蠕蟲透過 Microsoft's Remote Desk Protocol (RDP) 傳播。此蠕蟲掃描感染主機的子網路是否有執行 RDP 的其他主機,並試圖使用預先設定的一組使用者名稱 (包括「管理員」) 和密碼進行存取。據 Microsoft 表示,可遠端控制和更新此蠕蟲,因此,可以命令感染的主機執行拒絕服務攻擊或其他功能。鑑於此,蠕蟲的行為可能會隨時間變更。
關於蠕蟲的詳細資訊,包括偵測和清理,可造訪此處:http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A
採取以下基本安全最佳實務,可減緩此威脅的影響。首先,確保在您的使用者帳戶上強制執行強式密碼選擇。請注意,啟動時,AWS 自動指派給您執行個體的唯一「管理員」帳戶密碼與此建議相符,且應足夠強,讓暴力密碼猜測行不通。如果您使用 EC2 Windows 組態服務複寫此自動指派的密碼,請確保您的選擇以加密方式保證強有力。Microsoft 有關建立強式密碼的指導請見:http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx,有關使用 Windows Configuration Service 的指示請見:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html
第二,確保您將傳入 RDP (TCP 3389) 限制為僅這些來源 IP 地址,合法 RDP 工作階段均應由此發出。您可設定您的 EC2 安全群組,以套用這些存取限制。如需適當設定及套用安全群組的資訊與範例,請參照下列文件:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html