gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
MSFT SQL Worm - Voyager Alpha Force
Contribuído por scorpio em 25-11-01 15:05
do departamento select-ip-from-sqlserverhosts...
Teenagers com demasiado tempo livre... vd escreve "Fui anunciado à pouco tempo na securityfocus uma nova tool de DDoS Attacks, que se baseia na instalação default do MSFT SQL Server. O "bicho" multiplica-se à velocidade de 600% em 6 horas. Instruções da Security Focus para o eliminar: "a) make sure SQL Server's System Administrator ("sa") account had a password (instead of the default install's blank password),
b) check and patch the known "Extended Stored Procedure Parameter Parsing" vulnerability, and
c) block port 1433 on corporate firewalls."
O Worm baseia-se numa tool chamada de "Voyager Alpha Force" e é uma modificação do Kaiten DDoS tool; este procura sistemas com a porta 1433 abertas, chama o xp_cmdshell que autoriza a execução de comandos DOS a partir de servidores de SQL.
Faz download de vários ficheiros : dnsservice.exe,win32mon.exe e win32bnc.exe de foo.com, corre os mesmos e usa a porta 6669 para ir a uma rede de IRC bots.kujikiri.net onde deixa o alerta do ip da maquina afectada.
Não bastando! Adiciona-se ao registo do windows como serviço.
Segundo a sfocus "This allows a malicious hacker to create a large number of compromised hosts from which he or she can launch DDoS attacks on another system."

A ameaça ainda não está muito divulgada porque os ataques e baseam-se nos serviços de FTP e de IRC o que não leva alguns Sysadms desconfiarem de aumento de volume de tráfego nas mesmas portas.
Thread da SecurityFocus aqui.

Problemas sérios no Kernel 2.4.15 / 2.5.0 | Problemas nos discos IBM DTLA  >

 

gildot Login
Login:

Password:

Referências
  • Thread da SecurityFocus aqui.
  • vd
  • Mais acerca Teenagers com demasiado tempo livre...
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Mentalidade Windows (Pontos:3, Interessante)
    por Filipe em 26-11-01 13:53 GMT (#1)
    (Utilizador Info)
    Enviei um email a um colega de trabalho sobre este assunto e vejam a resposta que recebi:

    "já tou farto de te dizer pa ñ me mandares estas mer*** ...manda antes gajas boas ...fod****"

    De notar que estamos a falar de um programador de ASP que usa o SQL Server no dia a dia. Penso que isto explica porque este tipo de coisas acontece mais frequentemente no mundo Windows que no Unix. Existe de facto uma diferença de mentalidades.

    Filipe
    Re:Mentalidade Windows (Pontos:2, Engraçado)
    por Shadlan em 26-11-01 14:44 GMT (#2)
    (Utilizador Info) http://arjoc.cjb.net
    Quantos de nós já não recebemos hoaxes e coisas no genero? Esse teu amigo provavelmente estaria a pensar que era mais entulho para entupir a net, não?
    Re:Mentalidade Windows (Pontos:1)
    por Devils_Advocate em 26-11-01 22:12 GMT (#5)
    (Utilizador Info)
    Eu tb mando avisos para alguns SA amigos meus e não me costumam responder assim... presumo que esse teu amigo seja do teu calibre, a avliar por este teu post.
    É uma questão de responsabilidade (Pontos:4, Esclarecedor)
    por dINAMItE em 26-11-01 15:05 GMT (#3)
    (Utilizador Info) http://www.ferro.eu.org
    Quando se está a instalar o SQL da M$ e chega à parte da password de administração aquilo até avisa para o perigo de utilizar o "sa" sem password, só inresponsáveis é que deixam servidores acessiveis pela internet com este tipo de configuração...
    Não é bem verdade... (Pontos:2)
    por jneves em 26-11-01 22:08 GMT (#4)
    (Utilizador Info) http://silvaneves.org/
    Apenas as versões mais recentes é que fazem essa pergunta na instalação. Como é normal, quando se tem uma base de dados não é normal estar a fazer instalações novas com ela, pois não ?

    Já agora, esse aviso só aí foi posto depois da mesma bronca com o IIS, e depois de pelo menos um press release da MS a dizer que não era uma vulnerabilidade de segurança o facto de haver uma conta sem password com permissões de nível 'Kernel' (superior a Administrator) sem qualquer aviso nem documentação.

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]