Ein ungesicherter SQL Server-Server, der eine leere (NULL) Systemadministratorkennwort verfügt ermöglicht Anfälligkeit für einen Wurm

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 313418 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Ein Wurm mit dem Codenamen "Voyager Alpha Force", die nutzt leere SQL Server-System-Administratorkennwort ( sa ) im Internet gefunden wurde. Der Wurm sucht nach einem Server, SQL Server ausgeführt wird, durch Scannen für Port 1433. Anschluss 1433 ist der SQL Server Standard-Port. Wenn der Wurm einen Server findet, versucht er, die Standardinstanz von SQL Server mit einem leeren (NULL) sa -Kennwort anmelden.

Wenn die Anmeldung erfolgreich ist, überträgt die Adresse des ungeschützten SQL-Servers auf einem Kanal IRC (Internet Relay Chat) und versucht dann, laden und Ausführen einer ausführbaren Datei von einer FTP-Site in der Philippinen. SQL Server anmelden als sa den administrativen Zugriff auf den Computer und abhängig von Ihrer bestimmten Umgebung ermöglicht, den möglicherweise Zugriff auf anderen Computern.

Abhilfe

Jeder der Schritte in diesem Abschnitt helfen um Ihrem System im Allgemeinen sicherer zu machen, und eine Sie allein wird verhindern diesem Wurm infizieren Ihren Server, SQL Server ausgeführt wird. Beachten Sie, dass diese Schritte Teil der Standardsicherheit von "best Practices" für alle SQL Server-Installation.
  • Ist der Authentifizierungsmodus im gemischten Modus (Windows-Authentifizierung und SQL Server-Authentifizierung), Ihr sa -Anmeldekonto mit einem nicht-NULL-Kennwort sichern. Der Wurm funktioniert nur, wenn Sie keine Sicherheit für Ihr Anmeldekonto sa haben. Daher empfiehlt es sich um folgen die Empfehlung aus dem Thema "System Administrator (SA) Login" in der SQL Server-Onlinedokumentation vornehmen Sie sicher, dass das integrierte sa -Konto ein sicheres Kennwort verfügt, auch wenn Sie nie direkt das sa -Konto selbst verwenden. Aktivieren Sie Windows-Authentifizierungsmodus (Windows-Authentifizierung nur), Sicherheit zu erhöhen somit entfernt die Möglichkeit für jeden Benutzer als sa Benutzer anzumelden. Konfigurieren Sie Ihre Clients für Windows-Authentifizierung verwenden.
  • Aktivieren die Überwachung für erfolgreiche und fehlgeschlagene Anmeldungen und dann beenden, und starten Sie den MSSQLServer-Dienst neu.
  • Blockieren von Port 1433 an Ihren Internet-Gateways und weisen Sie SQL Server, um einen alternativen Anschluss abzufragen.
  • Wenn Port 1433 auf Ihren Internet-Gateways verfügbar sein muss, aktivieren Sie Ausgang/Eingangsfilter damit Missbrauch von dieser port. Hinweis Kontakt Ihren Netzwerkadministrator oder den Firewallhersteller der Weitere Informationen zum Einrichten von Eingangs-/Ausgangsfilterung.

  • Führen Sie den Dienst "SQLServer" und SQL Server-Agent unter einem normalen Microsoft Windows NT-Konto nicht auf ein lokales Administratorkonto.
Informationen wie Sie ein bereits beschädigte System Wiederherstellen finden Sie auf das unabhängige CERT Coordination Center auf der folgenden Website:
"Schritte zum Wiederherstellen von einer UNIX oder NT beeinträchtigen"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Eindringling Erkennung Prüfliste"
http://www.cert.org/archive/pdf/WIDC.pdf
Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Genauigkeit dieser Kontaktinformationen von Drittanbietern.

Weitere Informationen

wichtig : Es ist keine Fehler in SQL Server, die diese Penetration ermöglicht, sondern eine Sicherheitsanfälligkeit, die von einem ungesicherten System erstellt wird.

Die folgenden Dateien geben Sie das Vorhandensein des Wurms:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
Darüber hinaus gibt die Darstellung der dem folgenden Registrierungsschlüssel das Vorhandensein dieser Wurmvirus:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Die folgenden Registrierungsschlüssel sind vorhandene Schlüssel für SQL Server und Sie werden vom Wurm verwendet, um Zugriff auf den Computer mithilfe der TCP/IP-Netzwerk Bibliothek steuern:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Der Wurmvirus nutzt die Xp_cmdshell , erweiterten gespeicherten Prozedur, wodurch den Wurm jeder Betriebssystem-Befehl ausführen, dass das Konto, mit dem SQL Server-Dienst die Berechtigung zur ausgeführt hat.

Weitere Informationen zum Sichern eine SQL Server finden Sie auf der folgenden Microsoft-Websites:
http://www.microsoft.com/sql/technologies/security/default.mspx

http://technet.microsoft.com/en-us/library/bb545450.aspx

Eigenschaften

Artikel-ID: 313418 - Geändert am: Freitag, 27. Juli 2007 - Version: 7.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
Keywords: 
kbmt kbprb KB313418 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 313418
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com