Тема: повторяющиеся сетевые атаки..
Показать сообщение отдельно

  #3  
Старый 18.09.2004, 17:54
The TBAPb
Новичок
Регистрация: 29.08.2004
Сообщений: 5
Провел на форуме:
0

Репутация: 0
По умолчанию
Worm.SQL.Slammer (aka Worm.SQL.Helkern, Sapphire)


Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).

Червь имеет крайне небольшой размер - всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount    (KERNEL32.DLL)
socket, sendto  (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой "sendto&quot на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount&quot.

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend



Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

 Remote Buffer Overrun Vulnerability

Название конкретной применяемой атаки:

 Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.

Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet....039.asp
(Microsoft Security Bulletin MS02-039)

и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/R...eleaseID=40602

Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.