利用微軟SA口令為空的攻擊活動猖獗

SA密碼為空（NULL）的不安全的SQL服務器容易受到蠕蟲 攻擊 （Q313418） 此文信息適應于： 1 Microsoft SQL Server 2000 (all editions) 2 Microsoft SQL Server version 7.0 癥狀 在互聯網上已經發現了一個代號為“Voyager Alpha Force”的蠕蟲， 它 利用 那

　　SA密碼為空（NULL）的不安全的SQL服務器容易受到蠕蟲攻擊（Q313418）
　　此文信息適應于：
　　1 Microsoft SQL Server 2000 (all editions)
　　2 Microsoft SQL Server version 7.0
　　
　　癥狀
　　在互聯網上已經發現了一個代號為“Voyager Alpha Force”的蠕蟲，
　　它利用那些系統管理員（SA）密碼為空的SQL服務器進行傳播。此蠕蟲通過掃描SQL的默認端口
　　1433端口來尋找SQL Server服務器。假如蠕蟲發現了一臺服務器，它就嘗試用空（NULL）SA密碼登入那個
　　SQL Server的默認狀態。
　　
　　假如登錄成功，它將把這個無防衛的SQL Server的地址廣播到一個互聯網中繼聊天（IRC）頻道上去，
　　并且嘗試從菲律賓的一個FTP站點加載和運行一個可執行文件。作為SA登錄入SQL Server
　　后用戶可以獲得計算機的管理員權限，并且依賴特定的網絡環境，還可以訪問其它的計算機。
　　
　　防范
　　下面的每一步大體上都將使你的系統更加安全，并且單獨任何一種方法都將防止
　　這種特殊的蠕蟲感染你的SQL Server服務器。注意這些步驟是針對任何SQL Server
　　安裝的部分標準安全“最佳策略”。
　　
　　1. 確保你的SA登錄帳號的密碼非空。只有你的SA登錄帳號沒有安全保障的時候蠕蟲才會工作。
　　因此，你應該遵循在SQL Server
　　聯機文檔中“系統管理員（SA）登錄”主題中的推薦模式，確保固有的SA帳號具有一個強壯的密碼，
　　即使是你自己從不使用SA帳號。
　　2. 在你的互聯網網關或防火墻上屏蔽1433端口和/或指定SQL Server監聽一個可選的端口。
　　
　　3. 假如在你的互聯網網關上需要利用1433端口，啟動用于防止此端口濫用的流入/流出過濾。
　　
　　4. 將SQLServer和SQL Server客戶端運行在微軟的Windows NT帳號下，而不是localsystem。
　　
　　5. 啟動Windows NT驗證，啟動監聽成功和失敗的登錄，然后停止并重啟MSSQLServer服務。
　　設置你的客戶端使用NT驗證。
　　
　　關于如何恢復一臺已經被感染的系統的信息，請訪問獨立的CERT協調中心的網站，網址如下：
　　
　　恢復一臺被感染的UNIX或NT系統的步驟
　　http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
　　入侵者檢測清單
　　http://www.cert.org/tech_tips/intruder_detection_checklist.html
　　
　　包含在此文中的第三方聯系信息有助于你發現你需要的技術支持。
　　這些聯系信息經常在不預先通知就改變了。微軟無法擔保這些第三方聯系信息的準確性。
　　
　　更多信息
　　重要：這不是SQL Server的bug；這是由一個不安全的系統造成的缺陷。
　　下來文件暗示蠕蟲的存在：
　　rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
　　dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
　　win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
　　
　　另外，下列注冊表鍵值的出現也暗示了此蠕蟲的存在：
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
　　
　　下列注冊表鍵值是關于一個SQL Server的現有鍵值，并已被蠕蟲利用來通過使用TCP/IP
　　網絡庫來控制計算機的訪問權：
　　SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
　　SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
　　
　　此蠕蟲利用xp_cmdshell擴展存儲程序，此程序允許蠕蟲執行任何運行SQL Server
　　服務的帳號有權執行的操作系統命令。
　　下列微軟網頁連接提供了關于如何保護你的SQL Server服務器的有關信息：
　　http://www.microsoft.com/sql/techinfo/administration/2000/security.asp
　　http://www.microsoft.com/sql/evaluation/features/security.asp
　　
　　

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com