文章編號: 313418 - 上次校閱: 2007年7月27日 - 版次: 7.5

無安全性的 SQL Server 伺服器具有空白的 (NULL) 系統管理員密碼可讓這項弱點來蠕蟲

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

一個蠕蟲 code-named"Voyager Alpha 強制,"利用空白 SQL Server 系統管理員 (sa) 密碼已在網際網路找到。病蟲會尋找由掃描連接埠 1433年執行 SQL Server 的伺服器。連接埠 1433年是 SQL Server 預設連接埠。如果蠕蟲尋找伺服器,它會嘗試登入的使用空白的 (NULL) sa 密碼該 SQL Server 預設執行個體。

如果成功登入,它會廣播未受保護的 SQL Server,透過網際網路轉送聊天 (IRC)] 通道上的位址,然後嘗試載入和執行可執行檔從 FTP 網站在菲律賓。可能是登入到 SQL Server 為 sa 提供使用者的系統管理存取權,與電腦和視您特定的環境,到其他電腦存取。
回此頁最上方

其他可行方案

這一節中步驟的每個可協助讓您的系統更安全的一般,而且其中單獨將會防止此特定的病蟲感染您正在執行 SQL Server 的伺服器。請注意這些步驟都是標準安全性的任何 SQL Server 安裝的 「 最佳作法 」 的一部份。
  • 如果您的驗證模式是混合模式 (Windows 驗證] 和 [SQL Server 的帳戶驗證),保護您的 sa 登入帳戶使用非 NULL 密碼。病蟲只能如果 sa 登入帳號已經沒有安全性。因此,是從 「 系統管理員 (SA) 登入 」 主題,SQL Server 線上叢書中並確定內建的 sa 帳戶具有強式密碼,即使您永遠不會直接使用 sa 帳戶自行遵循建議的最佳方法。為了增加安全性啟用 Windows 驗證模式 (只有 Windows 驗證),因此移除任何人將 sa 使用者身分登入的能力。設定用戶端使用 Windows 驗證。
  • 啟用稽核成功與失敗登入,然後停止再重新啟動 MSSQLServer 服務。
  • 封鎖在您的網際網路閘道的連接埠 1433年,並指派 SQL Server 在替代的連接埠上接聽。
  • 如果連接埠 1433年上必須要有網際網路閘道,啟用輸出/輸入篩選以避免誤用此 port.的 筆記 連絡網路系統管理員或防火牆廠商設定輸入/輸出篩選的相關資訊。

  • 一個一般的 Microsoft Windows NT 帳戶,不是本機系統管理帳戶下執行 SQLServer 服務和 SQL Server 代理程式 」。
如需有關如何復原已遭入侵的系統資訊,請造訪獨立 CERT 協調方面中心,請在下列的網站]:
從 UNIX 或 NT 系統復原的步驟危害"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html (http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

入侵者偵測檢查清單"
http://www.cert.org/archive/pdf/WIDC.pdf (http://www.cert.org/archive/pdf/widc.pdf)
Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。 此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。
回此頁最上方

其他相關資訊

重要事項: 在 SQL Server 中,以允許這個滲透沒有沒有 Bug,它是無安全性的系統建立一項弱點。

下列檔案表示病蟲的存在:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
此外,下列登錄機碼的外觀會指出此病蟲的存在:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
下列的登錄機碼的 SQL Server 的現有金鑰,而且它們由蠕蟲用來藉由使用 TCP/IP 網路程式庫控制電腦的存取權:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
蠕蟲使用 xp_cmdshell 延伸可讓執行 「 執行 SQL Server 服務帳戶擁有要執行的權限任何作業系統命令病蟲的預存程序。

如需有關如何協助保護 SQL Server 伺服器的安全,請造訪下列 Microsoft 網站的詳細資訊:
http://www.microsoft.com/sql/technologies/security/default.mspx (http://www.microsoft.com/sql/technologies/security/default.mspx)

http://technet.microsoft.com/en-us/library/bb545450.aspx (http://technet.microsoft.com/en-us/library/bb545450.aspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft Data Engine 1.0
回此頁最上方
關鍵字:?
kbmt kbprb KB313418 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:313418? (http://support.microsoft.com/kb/313418/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。