مشكلة عدم الحصانة إلى الفيروس متنقل يسمح ملقم SQL Server غير آمنة له كلمة مرور مسؤول نظام فارغة (NULL)

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية313418
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الأعراض
الفيروس متنقل ، code-named "Voyager Alpha فرض ،" التي تستفيد من ملقم SQL فارغة تم العثور على كلمات مرور (sa) مسؤول النظام على الإنترنت. الفيروس المتنقل يبحث عن ملقم الذي يستخدم SQL Server قبل المسح بحثاً عن منفذ 1433. المنفذ 1433 هو المنفذ الافتراضي SQL Server. إذا عثر الفيروس المتنقل ملقم ، يحاول تسجيل الدخول إلى مثيل الافتراضي هذا SQL Server باستخدام كلمة مرور فارغة (NULL) sa.

في حالة نجاح تسجيل الدخول فإنه يرسل عنوان ملقم SQL غير محمية على قناة محادثة ترحيل إنترنت "(IRC) ، وتحاول ثم تحميل وتشغيل ملف قابل للتنفيذ من موقع FTP في الفلبين. تسجيل الدخول إلى SQL Server كما يعطي sa المستخدم حق الوصول الإداري إلى الكمبيوتر وإلى استناداً إلى بيئة التشغيل الخاصة بك ، من المحتمل أن يكون الوصول إلى أجهزة الكمبيوتر الأخرى.
الحل البديل
يساعد كل من الخطوات المذكورة في هذا المقطع جعل النظام أكثر أمانًا بشكل عام ثم أي منها فقط إلى منع هذا الفيروس المتنقل معينة من إصابة الملقم الخاص بك يعمل بنظام التشغيل SQL Server. لاحظ أن الخطوات التالية جزء من الأمان القياسي "أفضل الممارسات" من أجل أي تثبيت SQL Server.
  • إذا كان وضع مصادقة "الوضع مختلطة" (Windows المصادقة "و" مصادقة خادم SQL) ، تأمين حساب تسجيل الدخول الخاص بك sa "باستخدام كلمة مرور غير فارغة. يعمل الفيروس المتنقل فقط إذا كان لديك أمان لحساب تسجيل الدخول sa. لذلك، من الأفضل اتبع التوصية من الموضوع "تسجيل النظام المسؤول (SA) الدخول" في SQL Server المباشرة للتأكد من أن حساب sa المضمنة له كلمة مرور قوية حتى في حالة عدم مباشرة استخدام حساب sa بنفسك. للحصول على المزيد من الأمان تمكين وضع مصادقة Windows (مصادقة Windows فقط) ، وبالتالي إزالة القدرة على أي شخص بتسجيل الدخول كمستخدم sa. تكوين العملاء لاستخدام مصادقة Windows.
  • تمكين تدقيق تسجيلات الدخول الفاشلة وغير الناجحة ثم أوقف خدمة MSSQLServer وأعد.
  • حظر منفذ 1433 في عبّارات إنترنت وتعيين SQL Server للإصغاء على منفذ بديل.
  • إذا كان يجب أن يكون المنفذ 1433 متوفرة على عبّارات إنترنت, تمكين egress/ingress التصفية لمنع سوء استخدام من هذا المنفذ ملاحظة اتصل بمسؤول الشبكة أو ببائع جدار الحماية للحصول على مزيد من المعلومات حول إعداد تصفية ingress/egress.

  • تشغيل خدمة SQLServer و SQL Server عامل تحت حساب Microsoft Windows NT عادية ، غير حساب مسؤول محلي.
للحصول على معلومات حول كيفية استرداد نظام بالفعل المكسور قم بزيارة مركز CERT مستقل على التنسيق في موقع ويب التالي:
"الخطوات الخاصة استعادة من UNIX أو تسوية النظام NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"قائمة الاختيار الكشف المتطفل"
http://www.cert.org/archive/pdf/WIDC.pdf
توفر Microsoft معلومات جهة الاتصال الخاصة بجهات أخرى لمساعدتك في الحصول على الدعم التقني. قد يتم تغيير معلومات جهة الاتصال هذه بدون إشعار. ولا تضمن Microsoft دقة هذه المعلومات لجهة الاتصال.
معلومات أخرى
هام: هناك لم خطأ في SQL Server الذي يسمح هذا penetration; وهو مشكلة عدم حصانة التي تم إنشاؤها بواسطة نظام غير آمن.

تشير الملفات التالية إلى وجود الفيروس المتنقل:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
بالإضافة إلى ذلك، يشير مظهر مفتاح التسجيل التالي إلى وجود هذا الفيروس المتنقل:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
مفاتيح التسجيل التالية من المفاتيح الموجودة لـ SQL Server ثم يتم استخدامها بواسطة الفيروس المتنقل للتحكم في الوصول إلى الكمبيوتر باستخدام مكتبة شبكة الاتصال TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
يستخدم الفيروس المتنقل xp_cmdshell توسيع الإجراء المخزن الذي يسمح الفيروس المتنقل تشغيل أي أمر من أوامر نظام التشغيل أن الحساب الذي تعمل خدمة SQL Server لديه الإذن لتشغيل.

لمزيد من المعلومات حول كيفية المساعدة على تأمين ملقم SQL Server بزيارة مواقع Microsoft التالية على الويب:
تسجيل الدخول تسجيل الدخول برنامج مكافحة الفيروسات فيروس

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 313418 - آخر مراجعة: 12/07/2015 08:13:59 - المراجعة: 7.5

Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 7.0 Standard Edition, Microsoft Data Engine 1.0

  • kbnosurvey kbarchive kbmt kbprb KB313418 KbMtar
تعليقات