利用微軟SA口令為空的攻擊活動猖獗

SA密碼為空（NULL）的不安全的SQL服務(wù)器容易受到蠕蟲 攻擊 （Q313418） 此文信息適應(yīng)于： 1 Microsoft SQL Server 2000 (all editions) 2 Microsoft SQL Server version 7.0 癥狀 在互聯(lián)網(wǎng)上已經(jīng)發(fā)現(xiàn)了一個代號為“Voyager Alpha Force”的蠕蟲， 它 利用 那

　　SA密碼為空（NULL）的不安全的SQL服務(wù)器容易受到蠕蟲攻擊（Q313418）
　　此文信息適應(yīng)于：
　　1 Microsoft SQL Server 2000 (all editions)
　　2 Microsoft SQL Server version 7.0
　　
　　癥狀
　　在互聯(lián)網(wǎng)上已經(jīng)發(fā)現(xiàn)了一個代號為“Voyager Alpha Force”的蠕蟲，
　　它利用那些系統(tǒng)管理員（SA）密碼為空的SQL服務(wù)器進行傳播。此蠕蟲通過掃描SQL的默認端口
　　1433端口來尋找SQL Server服務(wù)器。假如蠕蟲發(fā)現(xiàn)了一臺服務(wù)器，它就嘗試用空（NULL）SA密碼登入那個
　　SQL Server的默認狀態(tài)。
　　
　　假如登錄成功，它將把這個無防衛(wèi)的SQL Server的地址廣播到一個互聯(lián)網(wǎng)中繼聊天（IRC）頻道上去，
　　并且嘗試從菲律賓的一個FTP站點加載和運行一個可執(zhí)行文件。作為SA登錄入SQL Server
　　后用戶可以獲得計算機的管理員權(quán)限，并且依賴特定的網(wǎng)絡(luò)環(huán)境，還可以訪問其它的計算機。
　　
　　防范
　　下面的每一步大體上都將使你的系統(tǒng)更加安全，并且單獨任何一種方法都將防止
　　這種特殊的蠕蟲感染你的SQL Server服務(wù)器。注意這些步驟是針對任何SQL Server
　　安裝的部分標準安全“最佳策略”。
　　
　　1. 確保你的SA登錄帳號的密碼非空。只有你的SA登錄帳號沒有安全保障的時候蠕蟲才會工作。
　　因此，你應(yīng)該遵循在SQL Server
　　聯(lián)機文檔中“系統(tǒng)管理員（SA）登錄”主題中的推薦模式，確保固有的SA帳號具有一個強壯的密碼，
　　即使是你自己從不使用SA帳號。
　　2. 在你的互聯(lián)網(wǎng)網(wǎng)關(guān)或防火墻上屏蔽1433端口和/或指定SQL Server監(jiān)聽一個可選的端口。
　　
　　3. 假如在你的互聯(lián)網(wǎng)網(wǎng)關(guān)上需要利用1433端口，啟動用于防止此端口濫用的流入/流出過濾。
　　
　　4. 將SQLServer和SQL Server客戶端運行在微軟的Windows NT帳號下，而不是localsystem。
　　
　　5. 啟動Windows NT驗證，啟動監(jiān)聽成功和失敗的登錄，然后停止并重啟MSSQLServer服務(wù)。
　　設(shè)置你的客戶端使用NT驗證。
　　
　　關(guān)于如何恢復(fù)一臺已經(jīng)被感染的系統(tǒng)的信息，請訪問獨立的CERT協(xié)調(diào)中心的網(wǎng)站，網(wǎng)址如下：
　　
　　恢復(fù)一臺被感染的UNIX或NT系統(tǒng)的步驟
　　http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
　　入侵者檢測清單
　　http://www.cert.org/tech_tips/intruder_detection_checklist.html
　　
　　包含在此文中的第三方聯(lián)系信息有助于你發(fā)現(xiàn)你需要的技術(shù)支持。
　　這些聯(lián)系信息經(jīng)常在不預(yù)先通知就改變了。微軟無法擔(dān)保這些第三方聯(lián)系信息的準確性。
　　
　　更多信息
　　重要：這不是SQL Server的bug；這是由一個不安全的系統(tǒng)造成的缺陷。
　　下來文件暗示蠕蟲的存在：
　　rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
　　dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
　　win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
　　
　　另外，下列注冊表鍵值的出現(xiàn)也暗示了此蠕蟲的存在：
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
　　
　　下列注冊表鍵值是關(guān)于一個SQL Server的現(xiàn)有鍵值，并已被蠕蟲利用來通過使用TCP/IP
　　網(wǎng)絡(luò)庫來控制計算機的訪問權(quán)：
　　SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
　　SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
　　
　　此蠕蟲利用xp_cmdshell擴展存儲程序，此程序允許蠕蟲執(zhí)行任何運行SQL Server
　　服務(wù)的帳號有權(quán)執(zhí)行的操作系統(tǒng)命令。
　　下列微軟網(wǎng)頁連接提供了關(guān)于如何保護你的SQL Server服務(wù)器的有關(guān)信息：
　　http://www.microsoft.com/sql/techinfo/administration/2000/security.asp
　　http://www.microsoft.com/sql/evaluation/features/security.asp
　　
　　

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com