Cho phép một máy chủ SQL Server không có bảo đảm có mật khẩu người quản trị hệ thống (NULL) tại trống một tổn thương đến một sâu

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:313418
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TRIỆU CHỨNG
Một sâu, có tên mã "Voyager Alpha Force," mà phải mất lợi thế của trống SQL Server hệ thống quản trị)sa) mật khẩu đã được tìm thấy trên Internet. Sâu sẽ cho một máy chủ đang chạy SQL Server bằng cách quét cho cổng 1433. Port 1433 là các SQL Server cổng mặc định. Nếu sâu tìm thấy một máy chủ, nó cố gắng đăng nhập vào các trường hợp mặc định của máy chủ SQL đó với một trống (NULL) sa mật khẩu.

Nếu tên đăng nhập thành công, nó phát sóng các Địa chỉ của các máy chủ SQL không được bảo vệ trên một kênh Internet Relay Chat (IRC), và sau đó cố gắng để nạp và chạy tập tin thực thi từ một trang web FTP trong các Philippines. Đăng nhập vào máy chủ SQL như sa cho phép truy cập quản trị người dùng máy tính, và tùy thuộc vào môi trường cụ thể của bạn, có thể truy cập vào các máy tính khác.
CÁCH GIẢI QUYẾT KHÁC
Mỗi người trong số các bước trong phần này sẽ giúp để làm cho bạn hệ thống nhiều hơn nữa an toàn trong tổng hợp, và bất kỳ một trong số họ một mình sẽ ngăn chặn điều này đặc biệt sâu từ lây nhiễm cho máy chủ của bạn đang chạy SQL Server. Chú ý các bước này là một phần của tiêu chuẩn an ninh "thực hành tốt nhất" cho bất kỳ SQL Cài đặt máy chủ.
  • Nếu chế độ xác thực của bạn là hỗn hợp chế độ (Windows Xác thực và SQL Server Authentication), an toàn của bạn sa tài khoản đăng nhập với mật khẩu không NULL. Sâu chỉ hoạt động nếu bạn có không có an ninh cho bạn sa tài khoản đăng nhập. Vì vậy, nó là tốt nhất để thực hiện theo các khuyến nghị từ chủ đề "Hệ thống quản trị (SA) đăng nhập" trong SQL Server Books Online để Hãy chắc chắn rằng built-in sa tài khoản có một mật khẩu mạnh, ngay cả khi bạn không bao giờ trực tiếp sử dụng cácsa tài khoản của mình. Để tăng bảo mật, kích hoạt tính năng Windows Chế độ xác thực (Windows xác thực chỉ), do đó loại bỏ khả năng cho bất cứ ai đăng nhập với tên sa người sử dụng. Cấu hình các khách hàng của bạn sử dụng xác thực của Windows.
  • Kích hoạt tính năng kiểm toán cho đăng nhập thành công và thất bại, và sau đó dừng và khởi động lại dịch vụ MSSQLServer.
  • Chặn cổng 1433 tại cổng nối Internet của bạn và chỉ định SQL Hệ phục vụ để lắng nghe trên một cổng thay thế.
  • Nếu cổng 1433 phải có sẵn trên cổng Internet của bạn, cho phép đi ra/ingress lọc để ngăn chặn lạm dụng cổng này.Chú ý Liên hệ với quản trị mạng hoặc đại lý tường lửa của bạn cho thêm thông tin về thiết lập ingress/đi ra lọc.

  • Chạy dịch vụ SQLServer và SQL Server Agent dưới một bình thường Microsoft Windows NT tài khoản, không phải là một địa phương hành chính tài khoản.
Thông tin về làm thế nào để khôi phục lại một đã bị xâm phạm hệ thống, ghé thăm trung tâm CERT phối hợp độc lập tại các trang Web sau đây Trang web:
"Bước phục hồi từ UNIX hoặc thỏa hiệp hệ thống NT"
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

"Danh sách kiểm tra phát hiện xâm nhập"
http://www.CERT.org/Archive/PDF/WIDC.PDF
Microsoft cung cấp thông tin liên lạc bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không thông báo. Microsoft không đảm bảo tính chính xác của bên thứ ba liên hệ này thông tin.
THÔNG TIN THÊM
Quan trọng: Không có không có lỗi trong SQL Server có giấy phép thâm nhập này; nó là một lỗ hổng được tạo ra bởi một hệ thống không có bảo đảm.

Các tập tin theo đây chỉ ra sự hiện diện của sâu:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
Ngoài ra, sự xuất hiện của khóa registry sau đây chỉ ra sự hiện diện của sâu này:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Các khóa registry sau đây là chìa khóa hiện có cho SQL Server, và họ đang sâu sử dụng để điều khiển truy nhập tới máy tính bởi bằng cách sử dụng thư viện mạng TCP/IP:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Sâu sử dụng các xp_cmdshell mở rộng thủ tục được lưu trữ, cho phép sâu chạy bất kỳ lệnh hệ thống điều hành tài khoản đang chạy dịch vụ SQL Server có sự cho phép để chạy.

Để biết thêm chi tiết về làm thế nào để giúp bảo đảm một máy chủ SQL Server, ghé thăm Web site sau của Microsoft:
vi rút chống vi-rút máy quét đăng nhập đăng nhập

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 313418 - Xem lại Lần cuối: 12/07/2015 08:14:03 - Bản sửa đổi: 2.0

Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 7.0 Standard Edition

  • kbnosurvey kbarchive kbprb kbmt KB313418 KbMtvi
Phản hồi