Chyba zabezpečení červ umožňuje nezabezpečenou serveru SQL Server, který má prázdné heslo správce systému (NULL)

Překlady článku Překlady článku
ID článku: 313418 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Červ, code-named "Voyager Alpha Force,", který využívá prázdné SQL Server hesla správce systému (sa) byl nalezen v Internetu. Červ hledá server je spuštěn SQL Server podle skenování portu 1433. Port 1433 je výchozí port serveru SQL. Pokud server nalezne červa, pokusí se přihlášení do výchozí instance tohoto serveru SQL s prázdné heslo sa (NULL).

Pokud je úspěšné přihlášení, vysílá adresu nechráněné serveru SQL na kanálu Internet Relay Chat (IRC) a potom se pokusí načíst a spustit spustitelný soubor ze serveru FTP v Filipínská. Přihlášením se k serveru SQL jako sa poskytuje uživateli přístup pro správu k počítači a v závislosti na konkrétním prostředí, případně přístup do jiných počítačů.

Jak potíže obejít

Jednotlivé kroky v této části vám pomohou vytvořit bezpečnější systému obecně a některý z nich samostatně zabrání tímto konkrétním virem infikování vašeho serveru je spuštěn SQL Server. Poznámka: Tyto kroky jsou součástí standardní zabezpečení "Doporučené postupy" pro jakékoli instalaci serveru SQL.
  • Pokud režim ověřování je kombinovaný režim (Windows ověřování a ověřování serveru SQL), zabezpečení sa přihlašovací účet s heslem NULL. Červ funguje pouze pro přihlašovací účet sa máte žádné zabezpečení. Proto je nejvhodnější postupujte doporučení z tématu "Přihlášení systému správce (SA)" v SQL Server Books Online k zkontrolujte, zda předdefinovaný účet sa má silné heslo, přestože používáte nikdy přímo účet sa sami. Zvýšené zabezpečení povolit režim ověřování systému Windows (ověřování systému Windows pouze), tedy odebrání možnost pro libovolný uživatel přihlásit jako uživatel sa. Konfigurace klientů pomocí ověřování systému Windows.
  • Povolte auditování úspěšných a nezdařených přihlášení a poté zastavte a restartujte službu MSSQLServer.
  • Blokování portu 1433 na bran Internetu a přiřadit SQL Server naslouchat na alternativní portu.
  • Pokud port 1433 musí být k dispozici na bran Internetu, povolit filtrování zabránit zneužití výstupu/ingress z tohoto portu. Poznámka kontaktů správce sítě nebo dodavatele brány firewall pro další informace o nastavení filtrování ingress/výstupu.

  • Spustit službu SQLServer a SQL Server Agent pod běžným účtem Microsoft Windows NT, nikoli místní účet správce.
Informace o tom, jak obnovit napadený systém navštivte nezávislých centra CERT Coordination Center na následujícím webu:
"Kroky pro obnovení z UNIX nebo narušení zabezpečení systému NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Detection narušitel kontrolní seznam"
http://www.cert.org/archive/pdf/WIDC.pdf
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost těchto informací o kontaktech.

Další informace

Důležité: SQL Server umožňuje tento penetration nenachází žádná chyba; je chyba zabezpečení, která je vytvořena nezabezpečená systému.

Následující soubory označte přítomnosti červa:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
Vzhled následující klíč registru navíc označuje přítomnost tohoto viru:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Následující klíče registru jsou existující klíče pro SQL Server a používají se červ řízení přístupu k počítači pomocí síťové knihovny TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Červ použije xp_cmdshell rozšířené uložené procedury umožňuje červ spustit libovolný příkaz operačního systému, spuštěna služba SQL Server účet má oprávnění ke spuštění.

Další informace o Jak zabezpečit SQL serveru navštivte následující weby:
http://www.microsoft.com/sql/technologies/security/default.mspx

http://technet.microsoft.com/en-us/library/bb545450.aspx

Vlastnosti

ID článku: 313418 - Poslední aktualizace: 27. července 2007 - Revize: 7.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
Klíčová slova: 
kbmt kbprb KB313418 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:313418

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com