gildot Topo Sobre FAQ Tópicos Autores Preferências Artigos Sondagens Propor artigo 8/3 gildicas 9/30 jobs 10/9 perguntas 10/25 press		MSFT SQL Worm - Voyager Alpha Force Contribuído por scorpio em 25-11-01 15:05 do departamento select-ip-from-sqlserverhosts... vd escreve "Fui anunciado à pouco tempo na securityfocus uma nova tool de DDoS Attacks, que se baseia na instalação default do MSFT SQL Server. O "bicho" multiplica-se à velocidade de 600% em 6 horas. Instruções da Security Focus para o eliminar: "a) make sure SQL Server's System Administrator ("sa") account had a password (instead of the default install's blank password), b) check and patch the known "Extended Stored Procedure Parameter Parsing" vulnerability, and c) block port 1433 on corporate firewalls." O Worm baseia-se numa tool chamada de "Voyager Alpha Force" e é uma modificação do Kaiten DDoS tool; este procura sistemas com a porta 1433 abertas, chama o xp_cmdshell que autoriza a execução de comandos DOS a partir de servidores de SQL. Faz download de vários ficheiros : dnsservice.exe,win32mon.exe e win32bnc.exe de foo.com, corre os mesmos e usa a porta 6669 para ir a uma rede de IRC bots.kujikiri.net onde deixa o alerta do ip da maquina afectada. Não bastando! Adiciona-se ao registo do windows como serviço. Segundo a sfocus "This allows a malicious hacker to create a large number of compromised hosts from which he or she can launch DDoS attacks on another system." A ameaça ainda não está muito divulgada porque os ataques e baseam-se nos serviços de FTP e de IRC o que não leva alguns Sysadms desconfiarem de aumento de volume de tráfego nas mesmas portas. Thread da SecurityFocus aqui. <  Problemas sérios no Kernel 2.4.15 / 2.5.0 | Problemas nos discos IBM DTLA  >	gildot Login Login: Password: Referências Thread da SecurityFocus aqui. vd Mais acerca Teenagers com demasiado tempo livre... Também por scorpio
	Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. Mentalidade Windows (Pontos:3, Interessante) por Filipe em 26-11-01 13:53 GMT (#1) (Utilizador Info) Enviei um email a um colega de trabalho sobre este assunto e vejam a resposta que recebi: "já tou farto de te dizer pa ñ me mandares estas mer*** ...manda antes gajas boas ...fod****" De notar que estamos a falar de um programador de ASP que usa o SQL Server no dia a dia. Penso que isto explica porque este tipo de coisas acontece mais frequentemente no mundo Windows que no Unix. Existe de facto uma diferença de mentalidades. Filipe Re:Mentalidade Windows (Pontos:2, Engraçado) por Shadlan em 26-11-01 14:44 GMT (#2) (Utilizador Info) http://arjoc.cjb.net Quantos de nós já não recebemos hoaxes e coisas no genero? Esse teu amigo provavelmente estaria a pensar que era mais entulho para entupir a net, não? Re:Mentalidade Windows (Pontos:1) por Devils_Advocate em 26-11-01 22:12 GMT (#5) (Utilizador Info) Eu tb mando avisos para alguns SA amigos meus e não me costumam responder assim... presumo que esse teu amigo seja do teu calibre, a avliar por este teu post. É uma questão de responsabilidade (Pontos:4, Esclarecedor) por dINAMItE em 26-11-01 15:05 GMT (#3) (Utilizador Info) http://www.ferro.eu.org Quando se está a instalar o SQL da M$ e chega à parte da password de administração aquilo até avisa para o perigo de utilizar o "sa" sem password, só inresponsáveis é que deixam servidores acessiveis pela internet com este tipo de configuração... Não é bem verdade... (Pontos:2) por jneves em 26-11-01 22:08 GMT (#4) (Utilizador Info) http://silvaneves.org/ Apenas as versões mais recentes é que fazem essa pergunta na instalação. Como é normal, quando se tem uma base de dados não é normal estar a fazer instalações novas com ela, pois não ? Já agora, esse aviso só aí foi posto depois da mesma bronca com o IIS, e depois de pelo menos um press release da MS a dizer que não era uma vulnerabilidade de segurança o facto de haver uma conta sem password com permissões de nível 'Kernel' (superior a Administrator) sem qualquer aviso nem documentação.