Server SQL Server yang tidak aman yang telah kosong (NULL) sistem sandi administrator memungkinkan kerentanan terhadap cacing

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 313418 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

GEJALA

Cacing, diberi kode "Voyager Alpha kekuatan," yang diperlukan keuntungan dari kosong SQL Server sistem administrator (sa) password telah ditemukan di Internet. Cacing mencari server yang menjalankan SQL Server dengan memindai untuk port 1433. Port 1433 SQL Server port default. Jika cacing menemukan server, mencoba untuk masuk ke default contoh dari SQL Server dengan kosong (NULL) sa sandi.

Jika login berhasil, itu siaran alamat server SQL dilindungi pada saluran Internet Relay Chat (IRC), dan kemudian mencoba untuk memuat dan menjalankan file eksekusi dari situs FTP di Filipina. Log in ke SQL Server sebagai sa memberikan pengguna akses administratif ke komputer, dan tergantung pada lingkungan tertentu Anda, mungkin akses ke komputer lain.

TEKNIK PEMECAHAN MASALAH

Setiap langkah-langkah di bagian ini akan membantu untuk membuat Anda sistem yang lebih aman secara umum, dan salah satu dari mereka sendiri akan mencegah ini cacing tertentu dari menginfeksi server yang menjalankan SQL Server. Catatan bahwa langkah-langkah ini adalah bagian dari standar keamanan "praktek terbaik" untuk setiap SQL Instalasi server.
  • Jika Anda otentikasi modus campuran Mode (Windows Otentikasi dan SQL Server otentikasi), aman Anda sa akun login dengan password non-NULL. Cacing hanya berfungsi jika Anda telah tidak ada keamanan untuk Anda sa akun login. Oleh karena itu, terbaik untuk mengikuti rekomendasi dari topik "Sistem Administrator (SA) Login" dalam SQL Server Books Online untuk Pastikan bahwa fungsi built-in sa account memiliki sandi yang kuat, bahkan jika Anda tidak pernah secara langsung menggunakansa account sendiri. Untuk meningkatkan keamanan, mengaktifkan Windows Mode otentikasi (Windows otentikasi hanya), dengan demikian menghapus kemampuan bagi siapa pun untuk log in sebagai sa pengguna. Mengkonfigurasi klien Anda untuk menggunakan Windows otentikasi.
  • Mengaktifkan audit untuk berhasil dan gagal login, dan kemudian berhenti dan restart layanan MSSQLServer.
  • Memblokir port 1433 di Gateway Internet Anda dan menetapkan SQL Server untuk mendengarkan pada port alternatif.
  • Jika port 1433 harus tersedia pada Gateway Internet Anda, mengaktifkan egress/ingress penyaringan untuk mencegah penyalahgunaan dari port ini.Catatan Hubungi administrator jaringan Anda atau vendor firewall Anda untuk informasi lebih lanjut tentang pengaturan ingress/egress penyaringan.

  • Menjalankan SQLServer layanan dan SQL Server agen di bawah Microsoft Windows NT biasa rekening, tidak lokal administratif rekening.
Untuk informasi tentang cara memulihkan sudah dikompromikan sistem, kunjungi pusat koordinasi CERT independen di Web berikut situs:
"Langkah-langkah untuk memulihkan dari UNIX atau NT sistem kompromi"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Penyusup deteksi Checklist"
http://www.Cert.org/Archive/PDF/WIDC.PDF
Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin keakuratan kontak pihak ketiga ini informasi.

INFORMASI LEBIH LANJUT

Penting: Ada tidak ada bug di SQL Server yang memungkinkan penetrasi ini; itu adalah kerentanan yang dibuat oleh sistem yang tidak aman.

The file-file berikut menunjukkan kehadiran cacing:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
Selain itu, munculnya kunci registri berikut menunjukkan adanya cacing ini:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Kunci registri berikut Apakah ada kunci untuk SQL Server, dan mereka yang digunakan oleh worm untuk mengontrol akses ke komputer dengan menggunakan jaringan TCP/IP perpustakaan:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Cacing menggunakan xp_cmdshell diperpanjang disimpan prosedur, yang mengijinkan cacing ini menjalankan salah perintah sistem operasi yang memiliki account berjalan SQL Server layanan izin untuk menjalankan.

Untuk informasi lebih lanjut tentang bagaimana membantu mengamankan server SQL Server, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/SQL/Technologies/Security/default.mspx

http://technet.Microsoft.com/en-us/library/bb545450.aspx

Properti

ID Artikel: 313418 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
Kata kunci: 
kbprb kbmt KB313418 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:313418

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com