你目前正处于脱机状态,正在等待 Internet 重新连接

PRB:使用空 (NULL) SA 密码的非安全的 SQL Server 会给蠕虫程序以可乘之机

本文的发布号曾为 CHS313418
症状
在 Internet 上发现一个利用空 SQL Server 系统管理员 (sa) 密码的蠕虫程序(代号“Voyager Alpha Force”)。这种蠕虫程序通过扫描端口 1433 寻找运行 SQL Server 的服务器。端口 1433 是 SQL Server 的默认端口。如果该蠕虫程序找到一个服务器,它就试图用空 (NULL) sa 密码登录该 SQL Server 的默认实例。

如果登录成功,它就在 Internet 中继聊天 (IRC) 频道上广播该不受保护的 SQL Server 的地址,然后尝试从位于菲律宾的一个 FTP 站点加载并运行一个可执行文件。以 sa 身份登录到 SQL Server 将赋予该用户对计算机的管理权限,同时还可能包括对其他计算机的访问权限,具体情况取决于您的特定环境。
替代方法
本部分中的每个步骤都将帮您使您的系统在总体上更加安全,其中每个单独的步骤都能够防止此特定的蠕虫程序侵入您运行 SQL Server 的服务器。注意,这些步骤是任何 SQL Server 安装的标准安全机制“最佳做法”的一部分。
  • 如果您的身份验证模式是混合模式(Windows 身份验证和 SQL Server 身份验证),则使用非空密码来保护您的 sa 登录帐户。只有当您的 sa 登录帐户没有任何安全保护时,该蠕虫程序才有可乘之机。因此,即使您自己从不直接使用 sa 帐户,也应该遵从 SQL Server 在线图书中“系统管理员 (SA) 登录”这一主题中的建议,确保内置 sa 帐户具有一个强密码。为增强安全性,请启用 Windows 身份验证模式(仅限 Windows 身份验证),以消除每个人都能以 sa 用户身份进行登录的可能性。配置您的客户端以使用 Windows 身份验证。
  • 启用对成功和失败登录的审核,然后停止并重新启动 MSSQLServer 服务。
  • 阻塞 Internet 网关中的端口 1433,然后指派 SQL Server 侦听一个备用端口。
  • 如果端口 1433 必须在 Internet 网关上打开,则请启用出/入筛选,以防止滥用此端口。注意:请与您的网络管理员或防火墙供应商联系,以获取有关设置出/入筛选方面的更多信息。

  • 在普通 Microsoft Windows NT 帐户(而不是本地管理帐户)下运行 SQLServer 服务和 SQL Server 代理程序。
有关如何恢复已被侵入的系统方面的信息,请访问位于以下 Web 站点的独立 CERT 协调中心: Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
更多信息
重要说明:在 SQL Server 中没有任何允许蠕虫程序侵入的错误;是未受保护的系统为蠕虫程序提供了可乘之机。

如果有下列文件,则表明存在蠕虫程序:
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
另外,如果出现下面的注册表项,也表明存在此蠕虫程序:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
下列注册表项是 SQL Server 的现有项,蠕虫程序利用它们通过使用 TCP/IP 网络库来控制对计算机的访问:
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
蠕虫程序利用了 xp_cmdshell 扩展存储过程,此过程使得蠕虫程序能够运行任何可以由运行 SQL Server 的帐户运行的操作系统命令。

以下 Microsoft Web 站点提供了关于如何加强保护 SQL Server 服务器的信息:
virus antivirus scanner logon login
属性

文章 ID:313418 - 上次审阅时间:07/25/2006 09:55:50 - 修订版本: 6.1

  • Microsoft SQL Server 2000 标准版
  • Microsoft SQL Server 7.0 标准版
  • Microsoft Data Engine 1.0
  • kbprb KB313418
反馈