gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Yet another worm !
Contribuído por joao em 25-01-03 14:30
do departamento vermes
Internet moonrider escreve "Desde o inicio da noite passada que um worm está a espalhar o caos na internet. O worm explora este bug ( de Junho ! ) no MSSQL.
A forma de verificar se estão a ser atingidos por este worm, é verificando o tráfego UDP na porta 1434. Aqui fica um exemplo de um "ataque" ( entre centenas ! ) de que o meu servidor foi vitima:
Jan 25 3:49:01 myhost ipmon[160]: [ID 702911 local0.warning] 13:49:01.375439 sppp0 @0:15 b 128.135.138.222,1883 -> my.ip,1434 PR udp len 20 404 IN

Que tipo de SysAdmin deixa uma BD aberta para a Internet ? Que tipo de SysAdmin não aplica um patch de segurança classificado como "crítico" desde Junho de 2002 ? Um NãoSysAdmin, concerteza !

Como prevenção, o melhor é bloquearem o tráfego de e para a porta 1434:UDP. "

Preço do aluguer de rede fixa inferior ao da UE | Mandrake 9.1  >

 

gildot Login
Login:

Password:

Referências
  • este
  • Mais acerca Internet
  • Também por joao
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    mais informação. (Pontos:4, Esclarecedor)
    por moonrider em 25-01-03 15:51 GMT (#1)
    (Utilizador Info)
    Esta notícia já está, obviamente, a ser largamente difundida pelos media. Ficam alguns links que não incluí na submissão do artigo ( porque raio o botão de antever está em posições diferentes na submissão de artigo e na submissão de comentário ? :-) ).
    MS patch..
    Mais notícias.

    E, claro, o slashdot tem já algumas dezenas de threads sobre o assunto.
    Então foi isso .... ou fo algo mais ? (Pontos:1)
    por macphisto em 25-01-03 16:04 GMT (#2)
    (Utilizador Info)
    Esta manhã, durante várias horas não se conseguia aceder a uns quantos sites americanos (google,cnn,etc), enquanto outros tavam na maior. Parece-me que se passou algo mais de mais grave do que um Worm, ainda para mais um que se baseia em SQL abertos.
    Re:Então foi isso .... ou fo algo mais ? (Pontos:3, Informativo)
    por moonrider em 25-01-03 16:17 GMT (#4)
    (Utilizador Info)
    Parece-me que se passou algo mais de mais grave do que um Worm

    Infelizmente não é preciso mais que um worm para fazer isto e muito mais. Bastava que, por exemplo, o worm enviasse pacotes TCP/UDP para várias portas aleatórias e os estragos teriam o triplo da magnitude.
    Segundo es ta notícia, 5 dos 13 DNS root servers não aguentaram a carga provocada pelos ataques do worm.
    A internet está muito vulnerável a uma série ataques semelhantes. E o principal problema é que não adianta que os SOs sejam mais orientados para a seguraça, nem as firewalls mais avançadas, enquanto existirem "administradores de sistemas" que não sabem o que fazem.
    Dica (Pontos:0, Informativo)
    por Anonimo Cobarde em 25-01-03 16:04 GMT (#3)
    # iptables -A INPUT -p udp --destination-port 1434 -j DROP
    Re:Dica (Pontos:2)
    por jmce em 25-01-03 21:18 GMT (#14)
    (Utilizador Info) http://jmce.artenumerica.org/

    A não ser que haja um servidor MS SQL a correr no Linux :-), talvez interesse mais, para quem tem sistemas Linux a encaminhar tráfego, algo como

    iptables -A FORWARD -p udp --destination-port 1434 -j DROP

    Re:Dica (Pontos:2)
    por jmce em 26-01-03 9:23 GMT (#22)
    (Utilizador Info) http://jmce.artenumerica.org/
    ... mas a regra com INPUT também dá jeito, para evitar fazer parte do enorme coro que não tendo o MS SQL Server responde com um ICMP unreachable...
    MSSQL MySQL (Pontos:1, Informativo)
    por Anonimo Cobarde em 25-01-03 17:03 GMT (#7)
    epa atencao a este topicos alarmistas que podem causar uma certa confusao desnecessaria

    MSSQL MySQL, uma vez que estamos no gildot qem olhe para o teu artigo pensa que estas a falar de mysql a primeira vista.

    podias ter escrito Microsoft SQL Server no teu artigo e terias deixado alguns coracoes mais descançados, e evitar algumas palpitacoes de nervosismo e preocupacao

    Re:MSSQL MySQL (Pontos:0, Engraçado)
    por Anonimo Cobarde em 25-01-03 17:12 GMT (#8)
    Ou então se ele tivesse escrito M$SQL...
    Re:MSSQL MySQL (Pontos:2)
    por Gamito em 25-01-03 19:18 GMT (#12)
    (Utilizador Info) http://www.dte.ua.pt/~gamito
    "(...)em olhe para o teu artigo pensa que estas a falar de mysql a primeira vista."

    O Micro$oft SQL Server é conhecido por toda a gente como MSSQL. Não era caso para te alarmares :-)

    Mário Gamito
    my web shelter
    Re:MSSQL MySQL (Pontos:0, Redundante)
    por humpback em 25-01-03 20:50 GMT (#13)
    (Utilizador Info) http://www.felisberto.net
    Bem reparado.

    Eu tinha lido aquilo na diagonal e como estava no gildot li mssql como mysql.
    So estava a achar estranho a porta do servidor.

    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism

    Re:MSSQL MySQL (Pontos:2, Esclarecedor)
    por moonrider em 25-01-03 19:10 GMT (#11)
    (Utilizador Info)
    nao admito noticias sensionalistas cuja objectivo esta ao alcance dos melhores tabloides britanicos.

    Este tipo de comentários é frustrante. Será o artigo tão sensacionalista ?

    durante 3 minutos teve o coracao aos saltos

    E já foste ao médico ?
    Se tivesses passado a noite inteira a verificar gráficos, analizar tráfego e a olhar para logs, não te tinhas assustado tanto. Se nem sequer sabias da existência do worm quando escreveste o teu brilhante comentário, descansa... não tens motivos para te preocupares.
    UMinho (Pontos:2)
    por Strange em 25-01-03 22:38 GMT (#17)
    (Utilizador Info) http://strange.nsk.no-ip.org/
    Pelos vistos a rede da Universidade do Minho nao se tem aguentado. Parece estar proxima de 100% packet loss...

    Bem, alguns graficos "giros" de alguns sitios:

    • http://average.matrix.net/Daily/markR.html
    • http://www.digitaloffense.net/worms/mssql_udp_worm/internet_health.jpg

    hugs
    Strange

    Netcabo afectada (Pontos:3, Informativo)
    por Andrade em 25-01-03 23:38 GMT (#18)
    (Utilizador Info) http://www.war-zone.net
    A Netcabo esta noite teve um blackout quase geral devido a este worm.
    Re:Netcabo afectada (Pontos:2)
    por xeon em 26-01-03 2:13 GMT (#19)
    (Utilizador Info) http://pthelp.org
    Hmm...

    Nao notei nada :-)

    Re:Netcabo afectada (Pontos:2)
    por pmsac em 26-01-03 15:04 GMT (#26)
    (Utilizador Info) http://2130706433/
    Não é essencial obter o IP por DHCP...


    -- pmsac.oO(Cogito sumere potum alterum)
    Re:Netcabo afectada (Pontos:2)
    por xeon em 26-01-03 20:46 GMT (#30)
    (Utilizador Info) http://pthelp.org
    Entra na configuracao (http://192.168.100.1 , salvo erro), remove a linha que refere "invalid frequencies" e ... voila'.

    Faz maravilhas com os USR :-)


    Coincidência??? (Pontos:1)
    por BlueRibbon em 26-01-03 2:31 GMT (#20)
    (Utilizador Info)
    Por acaso hoje estive o dia todo sem Netcabo, e segundo a gravação eram problemas a nível nacional e internacional... Alguém mais teve este problema? E já agora, está relacionado com o bug do MSSQL?

    KISS - Keep It Simple, Stupid!

    Re:Coincidência??? (Pontos:2)
    por Montanelas em 26-01-03 18:23 GMT (#28)
    (Utilizador Info) http://www.war-zone.net
    Se Eu te disser que também uma grande multinacional bem conhecida ficou com os seus servidores MSSQL infectados, porque não só não tinha os patches instalados, como também os "scr1pta" antes de os testar...

    E o mais interessante, é que é em momentos como este que o modelo centralizado de administração, tanto na AD como fisicamente, falha...

    Coitados dos sysadmins em KL... :P


    O Chico-Esperto pensa sempre em cima do joelho, incapaz de levantar a cabeça para ver ao longe, pois tem a espinha partida e os olhos cravados no umbigo.
    Problemas [ADSL Oni] (Pontos:2)
    por Lowgitek em 26-01-03 14:32 GMT (#25)
    (Utilizador Info) http://www.youthinkwedo.com
    Fiquei temporariamente sem email durante algumas horas de antes de ontem, sem muito mais para assinalar, sem ser a de ter apanhado tambem o bicharoco numa das máquinas com windows, que não tinha o MSSQL Server mais sim aquela cut version do mesmo. O que não percebi foi que mesmo com o sistema totalmente actualizado e com todos os patchs instalados mais firewall mais o lá sei lá o que, mas enfim se calhar não é memso para perceber ;), solução encontrada o cabo da rede é bom amigo ehehe ;)
    Re:July != Junho (Pontos:1)
    por moonrider em 25-01-03 16:35 GMT (#6)
    (Utilizador Info)
    Nem é Junho nem Julho, mas sim Maio ( foi quando o bug foi descoberto e é esta a data que devia referir ).
    De qualquer forma, obrigado pela correcção.

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]