PRB:使用空 (NULL) SA 密码的非安全的 SQL Server 会给蠕虫程序以可乘之机

文章翻译 文章翻译
文章编号: 313418 - 查看本文应用于的产品
本文的发布号曾为 CHS313418
展开全部 | 关闭全部

症状

在 Internet 上发现一个利用空 SQL Server 系统管理员 (sa) 密码的蠕虫程序(代号“Voyager Alpha Force”)。这种蠕虫程序通过扫描端口 1433 寻找运行 SQL Server 的服务器。端口 1433 是 SQL Server 的默认端口。如果该蠕虫程序找到一个服务器,它就试图用空 (NULL) sa 密码登录该 SQL Server 的默认实例。

如果登录成功,它就在 Internet 中继聊天 (IRC) 频道上广播该不受保护的 SQL Server 的地址,然后尝试从位于菲律宾的一个 FTP 站点加载并运行一个可执行文件。以 sa 身份登录到 SQL Server 将赋予该用户对计算机的管理权限,同时还可能包括对其他计算机的访问权限,具体情况取决于您的特定环境。

替代方法

本部分中的每个步骤都将帮您使您的系统在总体上更加安全,其中每个单独的步骤都能够防止此特定的蠕虫程序侵入您运行 SQL Server 的服务器。注意,这些步骤是任何 SQL Server 安装的标准安全机制“最佳做法”的一部分。
  • 如果您的身份验证模式是混合模式(Windows 身份验证和 SQL Server 身份验证),则使用非空密码来保护您的 sa 登录帐户。只有当您的 sa 登录帐户没有任何安全保护时,该蠕虫程序才有可乘之机。因此,即使您自己从不直接使用 sa 帐户,也应该遵从 SQL Server 在线图书中“系统管理员 (SA) 登录”这一主题中的建议,确保内置 sa 帐户具有一个强密码。为增强安全性,请启用 Windows 身份验证模式(仅限 Windows 身份验证),以消除每个人都能以 sa 用户身份进行登录的可能性。配置您的客户端以使用 Windows 身份验证。
  • 启用对成功和失败登录的审核,然后停止并重新启动 MSSQLServer 服务。
  • 阻塞 Internet 网关中的端口 1433,然后指派 SQL Server 侦听一个备用端口。
  • 如果端口 1433 必须在 Internet 网关上打开,则请启用出/入筛选,以防止滥用此端口。注意:请与您的网络管理员或防火墙供应商联系,以获取有关设置出/入筛选方面的更多信息。

  • 在普通 Microsoft Windows NT 帐户(而不是本地管理帐户)下运行 SQLServer 服务和 SQL Server 代理程序。
有关如何恢复已被侵入的系统方面的信息,请访问位于以下 Web 站点的独立 CERT 协调中心:
从 UNIX 或 NT 系统破坏中恢复的步骤
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

入侵检测清单
http://www.cert.org/tech_tips/intruder_detection_checklist.html
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。

更多信息

重要说明:在 SQL Server 中没有任何允许蠕虫程序侵入的错误;是未受保护的系统为蠕虫程序提供了可乘之机。

如果有下列文件,则表明存在蠕虫程序:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
另外,如果出现下面的注册表项,也表明存在此蠕虫程序:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
下列注册表项是 SQL Server 的现有项,蠕虫程序利用它们通过使用 TCP/IP 网络库来控制对计算机的访问:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
蠕虫程序利用了 xp_cmdshell 扩展存储过程,此过程使得蠕虫程序能够运行任何可以由运行 SQL Server 的帐户运行的操作系统命令。

以下 Microsoft Web 站点提供了关于如何加强保护 SQL Server 服务器的信息:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/sql/maintain/security/sp3sec/Default.asp
http://www.microsoft.com/sql/technologies/security/default.mspx

属性

文章编号: 313418 - 最后修改: 2006年7月25日 - 修订: 6.1
这篇文章中的信息适用于:
  • Microsoft SQL Server 2000 标准版
  • Microsoft SQL Server 7.0 标准版
  • Microsoft Data Engine 1.0
关键字:?
kbprb KB313418
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com