Червь Spida нападает на Microsoft SQL-серверы

Серверы Microsoft SQL Server во всем мире подверглись ожесточенной атаке червя Spida (js.spida.b.worm, известен также под именами Double Tap и SQLSnake). Червь, написанный на JavaScript, забирается в системы с пустыми учетными записями системного администратора, активно сканируя порт 1433.

Сисадмины начали замечать усиливающиеся атаки на порт 1433, которым пользуются серверы Microsoft SQL, в понедельник 20 мая. За 12 часов число атакованных и зараженных систем, которые продолжали сканировать интернет, превысило 1600.

Червь содержит скомпрессированную посредством UPX версию программы FScan и троянского коня, который активно сканирует порт 1433 по произвольно сгенерированным IP-адресам. Одновременно червь разыскивает в интернете другие SQL-серверы с конфигурацией по умолчанию, в которых пароли системного администратора оставлены пустыми. Обнаружив такую систему, Spida заражает ее и продолжает поиски новых уязвимых SQL-серверов. В зараженной системе Spida собирает пароли и возвращает их по e-mail своему создателю.

По данным SANS Institute, инструмент сбора паролей работает лишь в том случае, если не включен параметр Syskey (для NT 4.0 это условие по умолчанию). В Windows 2000 и XP Syskey по умолчанию включен.

Меры предосторожности
SANS рекомендует администраторам SQL-серверов принять следующие меры предосторожности:

Заблокировать трафик через порт 1433 TCP.

Установить патч Microsoft, входящий в MS02-020, затем установить надежный (длиннее 8 символов) пароль системного администратора.

Заблокировать всю электронную почту на адрес ixltd@postone.com (сейчас этот адрес перегружен и новой почты не принимает).

Разрешить Syskey.

Лечение
Несколько антивирусных компаний уже включили Spida в свои продукты. За более подробной информацией обращайтесь на сайты McAfee, Symantec или Trend Micro.

Предыдущие публикации:

2002-05-08		Через старую дыру в MS Office до сих пор вытекают данные?
2002-05-16		Microsoft прихлопнула еще шестерых клопов
2002-05-20		В сеть Kazaa забрался червь

В продолжение темы:

2002-05-25		Microsoft предупреждает об ошибке в отладчике
2002-05-25		Пароли, которые мы выбираем

Обсуждение и комментарии

	Anti-MS 22 May 2002 8:28 PM
Прально пусть грызет ;)

	Fiver$oft 22 May 2002 10:08 PM
Нормальная чача, траблы и лень - двигатель прогресса... Ж:-)

	Fiver$oft 22 May 2002 10:10 PM
Опубликуйте plzzzz код этого шедевра

	- 23 May 2002 12:20 AM
2Anti-ms А у нас вот линукс погрызли. Нерадивые админ ssh не залатали. Точнее контора та за суппорт не платила. А теперь вот восстанавливай им данные.

	glassy 23 May 2002 1:14 AM
2-: не волновайся, с той конторы не убудет :)

	eXOR - billgmicrosoft.com 23 May 2002 7:21 AM
2-: И поделом :)

	Chkaloff 23 May 2002 11:51 AM
Тупым админам поделом! Меня всегда убивало то, что при инсталяции MSSQL 7.0 не спрашивал пароль системного администратора (sa). Правда с версии 2000 это уже не так. В оракле тоже пароль стандартный ставился, то является той-же жопой. Хотя я про все версии не знаю.

	Peter 28 May 2002 1:42 PM
Не ну догадаться поставить sa не пустой пароль в семёрке, нормальный человек обязан. А двухтысячный действительно предлагает установить пароль, а если говоришь ему что хочешь пустой, так он десять предупреждений тебе выдаёт. Головотяпству в стане админов - бой!

← апрель 2002

17 18 20 21 22 23 24 25 26

июнь 2002 →