Незащищенный сервер SQL Server, с пустым (NULL) пароль системного администратора позволяет к вирусу

Переводы статьи Переводы статьи
Код статьи: 313418 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

Червь, под кодовым названием «Voyager альфа персонал,», принимающий Преимущество пустым (администратор системы SQL ServerSA) паролей был найден в Интернете. Червь ищет сервер, на котором запущен SQL Server путем сканирования порт 1433. Порт 1433 Порт по умолчанию SQL Server. Если вирус находит сервер, он попытается войти в по умолчанию экземпляр SQL Server с пустым (NULL) SA пароль.

Если вход выполнен успешно, он отправляет широковещательный адрес незащищенный SQL Server или канал Internet Relay Chat (IRC) и затем пытается загрузить и запустить исполняемый файл с FTP-узла в Филиппины. Ведение журнала в SQL Server в качестве SA предоставляет пользователю доступ администратора к компьютеру, и в зависимости от конкретной среде возможно доступ к другим компьютерам.

Временное решение

Все действия, описанные в этом разделе помогут сделать ваши системы в целом, более безопасный и один из них сами по себе не позволит это вирусом от заражения сервера, на котором запущен SQL Server. Примечание что эти действия являются частью стандартной безопасности «рекомендации» для любых SQL Установка сервера.
  • Если режим проверки подлинности в смешанном режиме (для Windows Проверка подлинности и проверка подлинности SQL Server), защита вашего SA Имя входа учетной записи пароль не NULL. Червь работает, только если Вы не имеют защиты для вашего SA учетная запись входа в систему. Таким образом рекомендуется следовать рекомендации из раздела «Системного администратора (SA) входа» в SQL Server Books Online для Убедитесь, что встроенная SA учетная запись имеет надежный пароль, даже если вы никогда не напрямую использоватьSA счет самостоятельно. Для повышения безопасности включена, Windows Режим проверки подлинности (только проверка подлинности Windows), тем самым удаляя возможности любой может войти в систему SA пользователь. Настройка клиентов для использования проверки подлинности Windows.
  • Включите аудит успешных и неудачных входов, а затем Остановите и перезапустите службу MSSQLServer.
  • Заблокируйте порт 1433 на шлюзах Интернета и назначьте SQL Сервер для прослушивания альтернативного порта.
  • Если необходимо, порт 1433 на шлюзах Интернета включите фильтрацию, чтобы предотвратить неправильное использование этого порта исходящих/характеристикам.Примечание Обратитесь к администратору сети или поставщику брандмауэра для Дополнительные сведения о настройке фильтрации исходящих/характеристикам.

  • Запуск службы SQLServer и агента SQL Server в поле обычные учетную запись Microsoft Windows NT, не локального администратора учетная запись.
Для получения сведений о восстановлении зараженной системы, посетите независимый Координационный центр CERT на следующем Web веб-узел:
«Действия для восстановления из UNIX или под угрозу безопасность системы NT»
http://www.CERT.org/tech_tips/Win-UNIX-system_compromise.HTML

«Контрольный список обнаружения нарушитель»
http://www.CERT.org/Archive/PDF/WIDC.PDF
Корпорация Майкрософт предоставляет контактные данные независимых производителей, чтобы помочь пользователям получить необходимую техническую поддержку. Эта информация может быть изменена без предварительного уведомления. Корпорация Майкрософт не поддерживает гарантировать точность этого контакта независимых производителей сведения.

Дополнительная информация

Важные: Нет никаких ошибок в SQL Server, позволяющий проникновения; он Это уязвимость, которая создается незащищенной системой.

В следующие файлы указывают на наличие вируса:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
Кроме того внешний вид раздела реестра Указывает на наличие вируса:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Следующие разделы реестра являются существующих ключей SQL Server и они используются червь для управления доступом к компьютеру с помощью Использование сетевой библиотеки TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Червь использует процедуры xp_cmdshell Расширенная хранимая процедура, позволяющая червь для запуска Команда операционной системы со службой SQL Server учетная запись имеет разрешение на запуск.

Для получения дополнительных сведений о защите сервера SQL Server посетите веб-узлы корпорации Майкрософт:
http://www.Microsoft.com/SQL/Technologies/Security/Default.mspx

http://TechNet.Microsoft.com/en-us/library/bb545450.aspx

Свойства

Код статьи: 313418 - Последний отзыв: 7 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
Ключевые слова: 
kbprb kbmt KB313418 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:313418

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com