Все новости от 26 ноября 2001 г. Гибрид червя и DDoS поражает Microsoft SQL Server
Гибридный червь, сочетающий технологию распределенных атак denial of service (DDoS) с методами автоматического распространения, применяемыми такими e-mail-червями, как Code Red, использует известную уязвимость защиты систем Microsoft SQL Server.
В прошлый вторник американская компания SecurityFocus, специализирующаяся на защите информации, обнаружила быстрорастущую сеть управляемых агентов, называемых bots. За несколько часов ее размеры выросли на 600%. Агенты используются для организации атак DDoS на системы, в которых установлено неправильно сконфигурированное ПО Microsoft SQL Server.
«При установке SQL система не просит задать имя администратора и пароль, а устанавливает стандартные значения этих параметров, и если их не изменить, то СУБД начинает работать с пустым паролем, — пояснил аналитик MIS Corporate Defence Solutions Марк Рид (Mark Read). — Если такой SQL Server доступен из интернета, в незащещенную базу данных легко войти, а через нее можно получить доступ и к управлению операционной системой».
Гибридный инструмент, называемый Voyager Alpha Force, управляется хакерами через механизм Internet Relay Chat (IRC). Агенты bots настроены на защищенный паролем канал IRC и следят за всеми событиями в этом канале. Чтобы запустить атаку DDoS , хакеру достаточно войти в канал и набрать определенную команду, которая распознается агентами и выполняется. Атакованные серверы начинают сканировать сетевые блоки других уязвимых SQL-серверов через порт 1433 и пытаются войти в них и запустить враждебный код.
Voyager Alpha Force вряд ли вызовет катастрофу такого же масштаба, к которой привели вирусы Code Red или Nimda, так как SQL Server распространен гораздо меньше, чем Microsoft IIS Server. «Проблема уязвимости IIS, которую использовал червь Code Red, состояла в том, что неисправленный сервис позволял ему проходить через обычный веб-порт HTTP, распространяясь вместе с нормальным интернет-трафиком, — говорит Рид. — Уязвимость SQL менее опасна, так как при правильной конфигурации сервера он не позволит трафику проходить напрямую».
SecurityFocus рекомендует компаниям, использующим SQL Server, убедиться в том, что их учетные записи не содержат пустых паролей, и применять брандмауэр для блокировки порта 1433.
Предыдущие публикации:
В продолжение темы:
|
|
| mars 26 Nov 2001 12:22 PM |
"При установке SQL система не просит задать имя администратора и пароль, а устанавливает стандартные значения этих параметров" Во-первых, просит. Неужели находятся мудаки, которые оставляют пароль sa пустым :) Во-вторых, не блокировать на firewallе порт сервера БД - это не очень хорошая идея :) Вообще складывается впечатление, что админы на Западе умственно неполноценные люди :) |
|
| PTO - kruchkovkgb.ru 26 Nov 2001 12:44 PM |
она вроде до 6.5 не просила, зато теперь если пустым оставляешь долго ругается и не дает сразу... |
|
| eXOR 26 Nov 2001 1:03 PM |
Система должна по умолчанию ставить такой пароль, чтобы админ бд ни за что не догадался что же это за пароль! (блин ну не дыра это - не дыра!.. вернее не в по дыра, а в мозгах) |
|
| glassy 26 Nov 2001 1:55 PM |
Как бы читатели не запутались :) |
|
| Null 26 Nov 2001 3:21 PM |
Странно. Обычно если пароль пустой, система должна запрещать вход по нему этому пользователю... 2mars: насчет админов на западе -- ты полностью прав! |
|
| Dmitry - dgzhmail.ru 26 Nov 2001 4:28 PM |
Ха ! Кстати зря думаете, что только дебилы оставляют пустым пароль sa :) Я вот тоже оставил ;)) а че мне - машина все равно не в инете :) Правда потом она вылезла в инет и я вспомнил о пустом пароле уже потом :) И некоторое время стояла тачка открытая для гадов всяких ... Так что не оставляйте пустым пароль :))) |
|
| Bravo 26 Nov 2001 5:23 PM |
как говорил наш полковник (к дмитрию) "дебилы - это такие же люди, как и мы с вами!" |
|
| haksly 27 Nov 2001 11:06 AM |
Никакая это не дыра, если человек настолько тупой что пароль администратора базы данных пустым оставляет. |
|
| real 27 Nov 2001 2:13 PM |
2 Bravo - Браво! |
|
| eXOR 27 Nov 2001 6:01 PM |
2 Dmitry: Надо ж так подставится ;-/. |
|
| dim 28 Nov 2001 2:56 PM |
Вообще-то это называется - настройки по умолчанию. У того же Oracle, например: system/manager sys/change_on_install scott/tiger Причем первые два - админские... у многих других - примерно в том же стиле. Так что это дыра не в security, а в мозгах у ленивых/бестолковых админов.
|
|
| Kiwi 29 Nov 2001 7:55 PM |
Тут дело не в "умственной неполноценности админов на Западе". Дело в неполноценности СУБД SQL Server, которая провоцирует админов на глупые поступки. Дело в том, что собственная система безопасности SQL Server-а несовершенна и неудобна для использования. Например, невозможно ввести ограничение на размер пароля, указать максимальное кол-во попытко присоединиться, задать дни и часы работы, допустимые для пользователя и даже ввести имя и фамилию пользователя некуда ! Поэтому многие администраторы давно послали на фиг средства аутентификации SQL Server-а и используют средства аутентификации Windows NT (тем более, что SQL Server это позволяет). Такой администратор, когда ему программа что-то толкует про пользователя sa и его пароль, нетерпеливо жмёт на Enter, чтобы перейти к следующему окну, рассуждая "Зачем мне этот sa, всё равно я всех пользователей через Windows NT прописываю". Вот и результат - множество серверов с пустым паролем пользователя sa. |
|
| VB man 14 Dec 2001 12:50 AM |
2Kiwi: ви батенька ошибаетесь. Исрользовать NT Security or SQL Server security ето ламерство. Когда у вас нормальная система а не маленькая поделка - использовать NT authentfication глупо и очень неудобно. Создаёш несколько системних accounts для присоединения разних груп юзеров. А в системной базе держиш юзеров и права. Даже сам М$ не рекомендует етого. Согласен с: dim, Dmitry, Bravo Несогласен с: mars, Null
|
|
|