我以前一直在负责unix/linux这块,虽然我也很菜,希望一些比我还菜的朋友从中受益。
防范来自1434端口的危险 v0.08
没上网的时候想上网。可上了网,我们发现网络带给我们的不仅仅是高效,方便同时也潜伏着的危险。
1至少谁应看看这文章
我觉得至少Microsoft SQL Server 2000,Microsoft Desktop Engine (MSDE) 2000的一般用户和网络管理员应该看看。
2何来的危险
如果能了解危险的前因后果,我想我们认识这个危险自然会给深入一些。
Microsoft SQL Server 2000引入了叫SQL Server Resolution Service(SSRS)的服务。SSRS接受来自1434 udp端口的请求,并返回提出请求主机的ip地址和端口号。不幸的是,SSRS有一个堆栈溢出问题,使攻击者通过发送特殊的去1434udp端口的请求来执行任意代码(程序)。如果你想了解更多,我建议你去看看MS02-039。
这个蠕虫病毒正是利用上面提及的安全漏洞进行破坏。m$将它称为Slammer SQL worm,但是eeye叫它SQL Sapphire 蠕虫病毒。病毒一旦利用堆栈溢出进入主机就开始自我繁殖,并且发送376比特的包来入侵其他随机选择的ip地址。这376比特的包将包含任意的ip地址和去往的1434udp端口。
3如何知道自己是否被感染了
你可以在边界路由器检查日志,也可以用SQL Scan,Typhon II,eeye提供的Sapphire SQL Worm Scanner也可以用绿盟的SQLWormScanner.exe
4解决办法
不要被病毒的危害吓倒,我们的目的就是要防范并解决这个安全问题。病毒只驻留在内存中,并不保存或改变你的目录中的文件。你重启可以清除病毒,当然这不能使sql对病毒免疫:-)。用net stop mssqlserver关闭sql再重启也可以减少损失。其实我们还有很多办法来解决。
首先,你如果你用的是SP2可以去安装个M$的安全补丁或者直接升级到SP3但是据说SP3也不是绝对安全:-)。详细的办法请看http://www.microsoft.com/technet/security/virus/alerts/slammer.asp
(不细说了,不然编辑大人要说我在骗稿费了,呵呵!)
你还可以过滤对访问UDP/1434端口的包,升级到Microsoft SQL Server 2000 SP3,使用Symantec公司提供的
FixSQLex.exe(v0.05时为Version 1.0.4.1) 等其他方法解决。如果有可能,以后你最好在一个权限比较低的帐号上运行SQL Server,这样可以避免很多安全问题,对其他未知问题有一定的防范作用。稍后我会写一些用比较简单的办法增强系统安全性的垃圾出来,也许勉强可以看看。呵呵!
5了解更多信息
http://securityresponse.symantec.com/avcenter/FixSQLex.exe
MS02-039 http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
SQL Server SP3
http://www.microsoft.com/sql/downloads/2000/sp3.asp
MS02-061 http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
CAN-2002-0649 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649
http://support.microsoft.com/support/misc/kblookup.asp?id=Q323875
http://www.microsoft.com/technet/prodtechnol/sql/maintain/security/sql2ksec.asp
http://www.nextgenss.com/advisories/mssql-udp.txt
微软补丁镜象:(如果微软网站太忙可以看看这)
http://thor.stech.psi.br/ms-update/Q323875_SQL2000_SP2_en.EXE
病毒的相关报道:
'Slammer' Worm Slows Global Internet Traffic
http://story.news.yahoo.com/news?tmpl=story&ncid=578&e=3&cid=569&u=/nm/20030125/tc_nm/tech_virus_dc
6与我联系
看到了是v0.01,的确还有v0.02。的确我太菜了,这篇垃圾里一定有不少错误。所以欢迎写信指正,也欢迎找我(NetBRay@hotmail.com)要后续版本的url地址,也许会有惊喜哦!祝各位羊年快乐!
7v0.08较v0.01更新了什么
eeye称它为SQL Sapphire 蠕虫病毒。
加入了http://www.nextgenss.com/advisories/mssql-udp.txt!
微软补丁镜象:(如果微软网站太忙可以看看这)
http://thor.stech.psi.br/ms-update/Q323875_SQL2000_SP2_en.EXE
病毒的相关报道:
'Slammer' Worm Slows Global Internet Traffic
http://story.news.yahoo.com/news?tmpl=story&ncid=578&e=3&cid=569&u=/nm/20030125/tc_nm/tech_virus_dc
http://securityresponse.symantec.com/avcenter/FixSQLex.exe
多次完善了解决办法。