MS SQL szerver féreg pusztította reggel a root NS szervereket

Microsoft, Windows

Tegnap írtam a DDoS-ról. Most itt van élőben:

Olvasva a Slashdot cikket világossá válik, hogy reggel miért is nem lehetett elérni egy-két szervert valami furcsa oknál fogva.. A gondot az okozta, hogy egy a Microsoft SQL szervert megtámadó féreg elosztott támadást indított a root DNS szerverek ellen, és bizonyos hírek szerint ezek közül a szerverek közül 5 nem bírt megbirkozni a támadással. A féreg egy olyan hibát használ ki az MS SQL szerverben, amelyet elvileg hat hónappal ezelőtt javítottak. A féreg speciálisan formázott kéréseket (376 byte) küld az 1434/UDP portra, amelynek az első byte-ja 0x04. Ezzel az SQL szerverben puffer túlcsorulást lehet előidézni, amelynek következtében a távoli támadó átveheti az irányítást az SQL szerver felett és tetszőleges kódot tud a szerveren futtatni annak felhasználónak a nevében, aki az SQL szervert futtatja. A gyors fix erre a hibára az hogy filtert kell állítani a fent említett portra eldobva az összes ilyen csomagot, az összes MS SQL szervert el kell távolítani az internetről, vagy MS SQL szerver SP3-mal kell javítani.

( Friczy v | 2003. 01. 25., szo – 17:52 )

UDP packets sent to port 1434. - ebből hogyan lett 1432? :)))

( jafrall | 2003. 01. 25., szo – 21:39 )

Meg mindig vannak probalkozasok a 1434- es portra.(21:38)

(Mar ertem mi novelte meg 6:30 ota a logfileomat.:)

( Zod | 2003. 01. 25., szo – 23:28 )

Az a durva benne, hogy nagyon izmos forgalmat general...

Egy nagy halozaton kb 6-7 gep fertozodott meg, es ugy 12 ora alatt kb 300 Giga kimeno forgalmat generaltak...

Es tobb mint 6 honapja ismert a bug...

Na ennyit a windozos rendszergazdakrol, hogy azt a par klikket nem tudjak megcsinalni, hogy legalabb a javitott bugok ellen vedve legyenek...

Zod

Ja mellesleg reg volt ilyen hosszu szal a bugtraq-en :)

( Névtelen (nem ellenőrzött) | 2003. 01. 26., v – 01:17 )

Ki kenne tiltani a netrol az ms es novell termekeket ezzel elejet vehetnenk az ilyen baleseteknek ... Irjunk egy peticiot ????

Ez most halal komoly kerdes ...

Testa megint hulyeseget besztelsz ;-)

A Netware stuffokkal semmmi gond nincs, btw elso osztalyu tuzfal megoldasa van (Bordermanager). A ringyozok is kezelhetok lennenek, ha nem lennenek lusta, trehany adminok, akik a 6 honappal ezelotti ismert hibat kijavitottak volna. A Linuxos oldalon is elofordulhat ilyen fereg (volt is par honappal ezelott az ssl bugbol kifolyolag) es ha nem lettek volna frissitve a szerverek, akkor nagy baj lehetett volna. Ez a kitiltani olyan rosszul hangzik...

( szeim v | 2003. 01. 26., v – 10:50 )

Csak hogy lássuk, hogy osztják az észt:

"A szombati támadás elsősorban azokat számítógépeket a fertőzte meg, melyek az SQL néven ismert Microsoft-adatbázissal vannak ellátva."

http://www.magyarhirlap.hu/cikk.php?cikk=61926

Szomorú vagyok.

Ha rasz@rsz egy jot a magyarhirlapra, akkor is sokat tettel a dolog ugyeben. A lenyeg, hogy az M$ le lett fikazva, most kovetkeznek majd a media-pofatepesek, hogy "az nem ugy volt es gonosz hackerek es a unixna tudhatooo bee es egyebkent mar tudtunk rola deee es izzzeee"...

ezvan. Soha sem fog eltunni az M$, szerint

( trey | 2003. 01. 26., v – 21:11 )

erteni kell hozza. amugy nem rossz szerkezet..

...rasz@rsz egy jot a magyarhirlapra...

Miért, azzal az "újsággal" lehet még mást is csinálni? :D

Ha ilyen régóta kint van a folt és ennek ellenére a féreg terjed, akkor az egyértelműen a gazdáik hülyesége és nem elsődlegesen a m$-é.

Az meg elég megdöbbentő - legalábbis a számomra -, hogy több DNS-gyökérszervert is érintett a dolog. Mondjuk rémlik valami, pár hónapja talán a HUP-on is megjelent egy cikk, ami a DNS-gyökerek operációs rendszereit és a használt DNS szervereket mérte föl. Ha jól emlékszem, akkor többnél is elég komoly biztonsági hiányosságok voltak.

Miert kell minden UN*X-os portalnak MS anyazasba fajulnia? Tisztara olyan kisebbsegi-komplexusszeru az egesz.

"Ki kenne tiltani a netrol az ms es novell termekeket ezzel elejet vehetnenk az ilyen baleseteknek"

es ha majd megint mysql,php,apache stb. bugot talal valaki ?

ps:

Az a rendszergazda is megerdemli a seggberugast, aki full publicra kinthagy egy sql-servert, ha erre nincs valami nyomos oka.

Aki meg nem kepes legalabb az sp-ket feltenni (most sp3-nal jar a dolog bar meg eleg friss) arrol meg mar nem is erdemes beszelni.