ช่องโหว่การหนอนไวรัสช่วยให้เซิร์ฟเวอร์ SQL Server ที่ไม่มีความปลอดภัยที่มีรหัสเป็นค่าว่าง (NULL) ระบบผ่านผู้ดูแล

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 313418 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

หนอนไวรัส code-named "Voyager Alpha บังคับ ที่ใช้ประโยชน์จาก(ผู้ดูแลระบบ SQL Server ที่เป็นค่าว่างsa) รหัสผ่านที่พบบนอินเทอร์เน็ต หนอนไวรัสที่ค้นหาเซิร์ฟเวอร์ที่กำลังเรียกใช้ SQL Server ด้วยการค้นหาพอร์ต 1433 พอร์ต 1433 มีพอร์ตเป็นค่าเริ่มต้นของ SQL Server หากเซิร์ฟเวอร์การค้นหาหนอนไวรัส พยายามเข้าสู่ระบบไปยังอินสแตนซ์ที่เริ่มต้นของ SQL Server ที่มีที่ว่าง (NULL)saรหัสผ่าน:

ถ้าล็อกอินสำเร็จ จะกระจายอยู่ของ SQL Server ไม่มีการป้องกันบนสถานีอินเทอร์เน็ต Relay สนทนา (IRC) และพยายามโหลด และแฟ้มที่ปฏิบัติการเรียกใช้จาก FTP ไซต์ในฟิลิปปินส์ เข้าสู่ระบบใน SQL Server เป็นsaให้การเข้าถึงระดับผู้ดูแลของผู้ใช้ไปยังคอมพิวเตอร์ และอาจได้ขึ้นอยู่กับในสภาพแวดล้อมของคุณ เข้าถึงคอมพิวเตอร์เครื่องอื่น

การหลีกเลี่ยงปัญหา

แต่ละขั้นตอนในส่วนนี้จะช่วยให้คุณตรวจสอบระบบของคุณให้ปลอดภัยยิ่งขึ้นโดยทั่วไป และใด ๆ เหล่านั้นเพียงอย่างเดียวจะป้องกันหนอนไวรัสนี้เฉพาะติดเซิร์ฟเวอร์ที่กำลังเรียกใช้ SQL Server โปรดสังเกตว่า ขั้นตอนเหล่านี้เป็นส่วนหนึ่งของการรักษาความปลอดภัยมาตรฐาน "พึง" สำหรับการติดตั้ง SQL Server ใด ๆ
  • ถ้าโหมดการรับรองความถูกต้องของ โหมด ผสม (Windows พิสูจน์ตัวจริงและการพิสูจน์ตัวจริงของเซิร์ฟเวอร์ SQL), ความปลอดภัยของคุณsaบัญชีการเข้าสู่ระบบ ด้วยรหัสผ่านไม่ใช่ค่า NULL ทำงานหนอนไวรัสเท่านั้นได้ถ้าคุณมีการให้มีความปลอดภัยของคุณsaบัญชีการเข้าสู่ระบบ ดังนั้น จึงเป็นที่ดีที่สุดให้ทำตามคำแนะนำที่จากหัวข้อ "ผู้ดูแลระบบ (SA) เข้าสู่" ใน SQL Server หนังสือออนไลน์เพื่อตรวจสอบให้แน่ใจว่า built-insaบัญชีมีรหัสผ่านที่ซับซ้อน ถึงแม้ว่าคุณไม่ต้องตรงใช้นั้นsaบัญชีด้วยตนเอง เปิดการใช้สำหรับการรักษาความปลอดภัยเพิ่มขึ้น งานโหมดการพิสูจน์ตัวจริงของ Windows (Windows Authentication เท่านั้น), เอาความสามารถในการเข้าสู่ระบบในฐานะผู้ซึ่งsaผู้ใช้: การตั้งค่าคอนฟิกไคลเอนต์ของคุณใช้การพิสูจน์ตัวจริงของ Windows
  • การเปิดใช้งานการตรวจสอบบัญชีสำหรับล็อกอินสำเร็จ และล้มเหลว แล้ว หยุด และเริ่มบริการ MSSQLServer
  • บล็อกพอร์ต 1433 ที่ gateways อินเทอร์เน็ตของคุณ และกำหนด SQL Server เพื่อฟังบนพอร์ตที่มีอื่น
  • ถ้าพอร์ต 1433 ต้องพร้อมใช้งานบน gateways อินเทอร์เน็ตของคุณ เปิด egress/ingress กรองข้อมูลเพื่อป้องกันการ misuse ของพอร์ตนี้หมายเหตุ:โปรดติดต่อผู้ดูแลระบบเครือข่ายหรือผู้จัดจำหน่ายไฟร์วอลล์ของคุณสำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าการกรอง ข้อมูล/ingress egress

  • เรียกใช้บริการสแตนซ์และบริษัทตัวแทนของเซิร์ฟเวอร์ SQL ภายใต้ธรรมดา Microsoft Windows NT บัญชี ไม่มีผู้ดูแลบัญชีภายใน
สำหรับข้อมูลเกี่ยวกับวิธีการกู้คืนระบบถูกโจมตีเรียบร้อยแล้ว แวะไปที่ศูนย์ Coordination ใบรับรองที่เกี่ยวข้องกับเว็บไซต์ต่อไปนี้:
"ขั้นตอนสำหรับการกู้คืนจาก UNIX หรือไม่สมบูรณ์ของระบบ NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"ตรวจสอบตรวจหา intruder"
http://www.cert.org/archive/pdf/WIDC.pdf
Microsoft จะให้ข้อมูลติดต่อของบริษัทอื่น เพื่อช่วยให้คุณสามารถขอรับการสนับสนุนทางเทคนิคได้ ข้อมูลติดต่อนี้อาจเปลี่ยนแปลงโดยไม่ต้องแจ้งให้ทราบล่วงหน้า Microsoft ไม่รับประกันความถูกต้องของข้อมูลการติดต่อกับบริษัทอื่นๆ เหล่านี้

ข้อมูลเพิ่มเติม

สิ่งสำคัญ: ไม่มีจุดบกพร่องใน SQL Server ซึ่งอนุญาตให้ penetration นี้ มีช่องโหว่ที่สร้าง โดยระบบไม่ปลอดภัย

แฟ้มต่อไปนี้บ่งชี้ปัจจุบันของหนอนไวรัส:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
นอกจากนี้ ลักษณะที่ปรากฏของรีจิสทรีคีย์ต่อไปนี้แสดงปัจจุบันของหนอนไวรัสนี้:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
รีจิสตรีคีย์ต่อไปนี้คือ คีย์ที่มีอยู่สำหรับ SQL Server และจะใช้ โดยหนอนไวรัสเพื่อควบคุมการเข้าถึงเครื่องคอมพิวเตอร์ โดยใช้ไลบรารีเครือข่าย TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
หนอนไวรัสใช้นั้นxp_cmdshellขยายกระบวนงานเก็บไว้ ซึ่งช่วยให้หนอนไวรัสจะเรียกใช้คำสั่งระบบปฏิบัติการที่บัญชีที่รันบริการ SQL Server มีสิทธิ์ในการเรียกใช้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่ช่วยรักษาความปลอดภัยของเซิร์ฟเวอร์ SQL Server แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/sql/technologies/security/default.mspx

http://technet.microsoft.com/en-us/library/bb545450.aspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 313418 - รีวิวครั้งสุดท้าย: 10 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
Keywords: 
kbprb kbmt KB313418 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:313418

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com