А чем они неприятны?
У тебя ж инфа не пропадает, винт не форматируется, винда не ложится? У меня к примеру по 17-20 вирусов в день, 10 попыткок просканить порты, и ещё всякая лобуда, которой я сам страдаю!

Worm.SQL.Slammer (aka Worm.SQL.Helkern, Sapphire)


Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).

Червь имеет крайне небольшой размер - всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount    (KERNEL32.DLL)
socket, sendto  (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой "sendto&quot на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount&quot.

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend



Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

 Remote Buffer Overrun Vulnerability

Название конкретной применяемой атаки:

 Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.

Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet....039.asp
(Microsoft Security Bulletin MS02-039)

и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/R...eleaseID=40602

Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.

Флудер
Понял? Тебя в этом деле девушка сделала!
Я не наезжаю - просто прикалываюсь!

The TBAPb
То что косается подопечного мне сервака, спасибо большое.
А вот что мне делать с моим домашним компом, на котором стоит Винда ХР СП1. Пробовал ДДОСить сайты с которых производилась атака, да только фиг результата, сайты видать левые. В связи с этим логичный вопрос.:
А для винды заплатка есть?

Pengo, хе, девушке спасибо...  мне наоборот приятней, когда меня в ЭТОМ деле девушка делает, редкость как никак

Это точно, что редкость!!!!!
Мне тоже приятно, что девушка на этом форуме МНОГИХ делает.

The TBAPb  

Флудер, а ты попробуй порт прикрыть... Аттакером например, я почитала тут и поняла, что заплатки под винды по ходу нет... хотя ща еще полазю..

В принципе везде и предлагают прикрыть порт... просто этот чевряк сильно опасен только для серверов, ане для домашних хрюш и ленолиумов....

kernel32.dll
GetTickCount
ws2_32.dll
socket
sendto

Поищи эти файлы в регедите и проверь антивирем... В конце концов червь не деструктивный, и занимается только рассылкой UPD пакетов, чем просто замедляет работу компа... В общем я бы просто порт закрыла..

"Далее червь в бесконечном цикле рассылает инфицированные пакеты по случайным IP-адресам. Если адрес равен значению X.Y.Z.0 или X.Y.Z.255, то пакет рассылается по всем адресам, находящимся в этой же подсети, благодаря чему червь может размножаться с огромной скоростью."

Ты просто попал под раздачу )))