За тези които имат MS SQL ili MSDE което е онлайн
<font size="2">За тези които имат MS SQL ili MSDE което е онлайн да погледнат тук:
http://isc.incidents.org/analysis.html?id=180
Има нов червей от събота и прави здрав трафик ако ви зарази сървара за укенда може да ви е направил над 1ГБ трафик.
</font id="size2">
За тези които имат MS SQL ili MSDE което е онлайн
Носете червеят на 1434 милисекунда - SQL
Публикувам : 2003 - 01 - 25
( предварителна мярка . Очаквайте чести обновявания )
Графика на разпростиране на червей :
HTTP:// ISC . SANS .ORG / порт 1434 започва . GIF
Уязвими системи
==================
Сървер 2000 на Майкрософт SQL
Настолен двигател на Майкрософт 2000 ( MSDE 2000 )
Кой е инсталиран като част от :
* сервитьорът 2000 на SQL ( разработчик , стандарт , и издания на предприятие )
* зрително студио .NET ( архитект , разработчик , и професионални издания )
Инструмент на матрица на мрежа на * ASP .NET
( различни версии ) на * Офис ЕксПи
* MSDN ( разнообразни нива за абонамент )
Достигнете 2002
* зрителен FOXPRO 7 . 0 / 8 . 0
За завършен списък , вижте :
HTTP:// WWW . SQLSECURITY .COM / DESKTOPDEFAULT . ASPX ? TABINDEX = 10 и TABID = 13
( виждам по-долу за кръпка / детайли на сервизен пакет )
Резюме
=======
Стартирайки 05 : UTC от 30 г. ( 00 : 30 източно стандарно време ) в събота 25 ти януари 2003 , в световен мащаб
Трафик за порт 1434 UDP нарастна бързо причинявайки главен Интернет
Връзки ще се провалят . Интернет-доставчици които отговориха бързо чрез блокиране носят 1434 .
Докато трафик все още е силен в някои площи . То падна значително
От неговият максимум . Около 35 , 000 домакини изглеждат да бъдат заразени за момента .
До сега , този червей беше наречен " сапфир " , " SQL - адът " и
" г-жа SLAMMER " .
Червеят изпраща 376 байтов дълъг пакет на UDP към ляво използване от 1434 случайно
Цели при много висока скорост . Уязвими системи незабавно ще започват
Изпращайки еднакви 376 пакети на байт веднъж те са заразени .
Червеят изпраща трафик към случаен IPS , включително MULTICAST IPS ,
Кой може да подобрява неговата полезна ( ДОС ) способност за отказ .
Единствени сървери на Майкрософт - SQL бяха докладвани за да генерират трафик в крайност
От 50 сек. на MBIT / . След заразяване .
Репортажът за здраве на интернетът на ключовият камък все още докладва деградация за връзката :
WWW на HTTP:// 1 . INTERNETPULSE .NET / Като резултат на понижени връзки , корен DNS
Сервитьори и други ресурси бяха неналични понякога .
Смекчаване
==========
- блок носи входящи и изходящи 1434 UDP .
- потвърдете , че вие приложихте всички кръпки към милисекунди , SQL сървери , в частност
Майкрософт 02 - 039 : буфер надхвърля в сърверът на SQL 2000 услуга за решителност можеше
Позволявам инфекция : на екзекуция на код която ( Q 323875 ) предотвратява
HTTP : / / Майкрософт на WWW . .COM / TECHNET / TREEVIEW / стандартен .ASP ? URL = сигурността на / TECHNET / / бюлетин / Майкрософт 02 - 039 .ASP
Важно : ( от постът на NTBUGTRAQ до Ерик SCHULTZE )
" Майкрософт 02 - 039 е приложим към сърверът 2000 на SQL и MSDE 2000 SP 2 . Тези
Пускайки SQL без SP на Ан , или SQL 2000 които SP 1 ще трябва да подобрява до SP 2
Да прилага тази кръпка , или инсталация SQL 2000 SP 3 .
Уместният файл в г-жа 02 - 039 е SSNETLIB .DLL . Вие трябва да имате
2000 . 80 . 636 . 0 или по-късен от толкова файловият която ще бъде премислян кърпяни . "
- монитор - вашият мрежов за домакини изпращащи големи на 1434 пакети на UDP за номер .
- CISCO - RECOMENDATIONS :
HTTP:// WWW . CISCO .COM / изкривяване / публичен / 707 / CISCO - SN - 20030125 - червеят . SHTML
Почистване
=======
- Разкачнете система от мрежа
- спиране - системно
- захранваща система повалена
- Рестартирайте система .
- се прилагат кръпки ( виждам по-горе )
- Се свържете отново с мрежа и система на монитор
Червеят не пише на диск и престои в памет . Глупак рестартира завещание
Почиствайте заразена машина . Забележете онова поради високият обем в трафик
Този червей генерира , каквато и да е уязвима система , свързана с Интернет е
Вероятно да бъдеш заразен в минути .
Откриване
=========
Правило за пръхтене ( до Крис BRENTON ) :
> Предупредете UDP $ Външен _ лови каквато и да е - $ Дом _ мрежа 1434 ( MSG : " червей на сапфир на SQL " ,
> dsize:300; content: "|726e 5168 6f75 6e74 6869 636b 4368 4765|";
Компенсирайте : 150 , дълбочина : 75 , )
( това пръхтене нарежда подхожда участието на подвиг , а не подплатата , кой прави
Специфична информационна технология ще подвигът използуван , не трябва към тази подробност да обезпаразитява )
Ето склад на пакет от който аз създадох моята сигнатура на пръхтене :
0: 0003 ba0b e48d 0050 7343 a257 0800 4500 .......PsC.W..E.
16: 0194 00f2 0000 6d11 d101 da39 813a c331 ......m....9.:.1
32: 42d1 10c8 059a 0180 aa1d 0401 0101 0101 B...............
48: 0101 0101 0101 0101 0101 0101 0101 0101 ................
64: 0101 0101 0101 0101 0101 0101 0101 0101 ................
80: 0101 0101 0101 0101 0101 0101 0101 0101 ................
96: 0101 0101 0101 0101 0101 0101 0101 0101 ................
112: 0101 0101 0101 0101 0101 0101 0101 0101 ................
128: 0101 0101 0101 0101 0101 01dc c9b0 42eb ..............B.
144: 0e01 0101 0101 0101 70ae 4201 70ae 4290 ........p.B.p.B.
160: 9090 9090 9090 9068 dcc9 b042 b801 0101 .......h...B....
176: 0131 c9b1 1850 e2fd 3501 0101 0550 89e5 .1...P.5....P..
C 6 на 192 : 5168 2 E 64 6 C 6865 6 C 33 3268 6 милиарда 65 726 E QH . DLLHEL 32 HKERN
QHOUNTHICKCHGETT на 208 : 5168 6 F 75 6 E 74 6869 636 милиарда 4368 4765 7454
9 на 224 : 66 B 6 C 6 C 5168 3332 2 E 64 6877 7332 5 F 66 F . LLQH 32 . DHWS 2 _ F
240 : B 965 7451 6873 6 F 63 6 милиарда 66 милиарда 974 6 F 51 6873 . ETQHSOCKF . TOQHS
256 : 656 E 64 съм край на AE 42 8 D 45 D 450 FF 16 508 D от 1810 г. ... ... B . E . P ... P .
272 : 45 E 0 508 D 45 F 0 50 FF 1650 ВЕ 10 10 AE 428 милиарда E . P . E . P ... P . ... милиарда .
EC на 288 : 1 E 8 милиарда 033 D 558 милиарда 51 7405 е на 1 C 10 AE 42 FF ... = U . . QT ... ... милиарда .
304: 16ff d031 c951 5150 81f1 0301 049b 81f1 ...1.QQP........
320 : 0101 0101 518 D 45 СС 508 B 45 C 0 50 FF 166 A . ... Q . E . P . E . P ... J
336 : 116 A 026 A 02 FF D 050 8 D 45 C 450 8 милиарда 45 C 050 . J . J ... P . E . P . E . P
< 3 на FF 16 89 C 6 09 ДБ 81 F3 от 352 : г. C 61 D 9 FF 8 B 45 B 48 D ... ... ... A ... E . .
368: 0c40 8d14 88c1 e204 01c2 c1e2 0829 c28d .@...........)..
384: 0490 01d8 8945 b46a 108d 45b0 5031 c951 .....E.j..E.P1.Q
400 : 6681 45 50 FFD за променлив ток 6 F ... X . Q . F 178 0151 8 D 45 0350 8 милиарда E . P . E . P . .
416 : EBCA ...
Анекдотни репортажи на списък ( по-долу ) казват че червеят може да се активира
NETFLOW прехвърлящ идентификация на бъг - бъг на CISCO CSCDU 72555 - която е адресирана като инчова
" определени възражения CISCO IOS пускат 12 . 0 ( 18 ) сек. 2 " ( се свързват по-долу ) .
Детайли
=======
Този червей използува уязвимост ако е " портът на мониторът " на SQL - сърверът .
Портът на мониторът е използуван да открива кои методи за връзка на ар
Предлагам чрез подробност сервитьор . Съобщението , изпратено от клиентът обикновено е
Единствен байт ( 0 X 02 ) . Отговорът зависи от конфигурацията на сервитьорът .
Както и да е , Дейвид - LICHTFIELD
( HTTP:// WWW . NGSSOFTWARE .COM / упътвания / MSSQL - UDP .TXT ) Откривам две
Условия за преливане на буфер в тази услуга , която може да бъде практикувана да изпълнява
Своеволен код в контекст за сигурността на сърверът .
Червеят кодира завещание , след като то зарази сервитьор , генерирайте пакети на UDP
Случаен IPS . Друг товар не е известен за момента и основан на споразумението
Информационна технология на код е невероятна че друг товар съществува .
Уместни връзки
==============
Упътването на Майкрософт
/ сигурност / на .COM на Майкрософт на HTTP:// WWW . SLAMMER .ASP
Упътване за сигурна работа :
/ упътвания / на .ORG за сигурна работа на HTTP:// WWW . Калифорния - 2003 - 04 .HTML
Г-н кръпка :
HTTP : / / Майкрософт на WWW . .COM / TECHNET / TREEVIEW / стандартен .ASP ? URL = сигурността на / TECHNET / / бюлетин / Майкрософт 02 - 039 .ASP
Г-жа SERIVCE качва 3 :
HTTP:// WWW . Майкрософт .COM / SQL / даунлоуди / 2000 / SP 3 .ASP
Упътването на LICHTFIELD г-жа UDP :
HTTP:// WWW . NGSSOFTWARE .COM / упътвания / MSSQL - UDP .TXT
Обезпаразитете код :
HTTP:// WWW . DIGITALOFFENSE .NET / червеи / MSSQL _ UDP _ червей /
HTTP:// WWW . EEYE .COM / HTML / проучване / блясване / сапфир .TXT
Упътвания за г-н сигурна работа :
HTTP:// WWW . - килобайтов . / идентификация / 370308 на .ORG VULS / за сигурна работа
HTTP:// WWW . - килобайтов . / идентификация / 399260 на .ORG VULS / за сигурна работа
HTTP:// WWW . - килобайтов . / идентификация / 484891 на .ORG VULS / за сигурна работа
HTTP:// WWW . - килобайтов . / идентификация / 796313 на .ORG VULS / за сигурна работа
Уместни подвизи на Майкрософт - SQL :
HTTP:// WWW . NEXTGENSS .COM / упътвания / MSSQL - UDP .TXT
HTTP:// PACKETSTORMSECURITY .ORG / 0211 - подвизи / SQL 2 . CPP
Репортаж за първостепенното здраве на интернетът :
WWW на HTTP:// 1 . INTERNETPULSE .NET /
Упътване на контролен пункт :
Контролен пункт на HTTP:// WWW . .COM / TECHSUPPORT / документация / SMARTDEFENSE / 2003 / CPAI - 2003 - 04 .HTML
Цитати на разни от ISC които прониквания описват
=====================================
Изпратен от Джордж Уилиам Хърбърт
Събота , 25 януари , 2003 4 : 44 сутринта
BUGTRAQ @ SECURITYFOCUS . COMCOM < BUGTRAQ @ SECURITYFOCUS .COM >
" 1 гръбнаци на ред докладват лоша нощ : изпращане
Нестабилности , един майор изпуснаха повечето от неговото взиране
За момент , томът от това причинява CISCO
NETFLOW преминаващ тормози и причинява маршрутизатори да се заключват
Нагоре АТ се размени , и т. н. . "
Преминаващата идентификация на бъг - бъг на CISCO NETFLOW CSCDU 72555 беше адресиран в " определени възражения CISCO IOS пускат 12 . 0 ( 18 ) сек. 2 "
HTTP:// WWW . CISCO .COM / ен / американски / продукти / SW / IOSSWREL / PS 1829 / мушка _ пускане _ бележка 09186 A 0080132 9 F .HTML
Междуплатформно пускане забелязва че за CISCO IOS пуска 12 . 0 сек. , част 3 : възражения
В частта " определени възражения CISCO IOS пускат 12 . 0 ( 18 ) сек. 2 " ( забелязвам думата " определен " )
Инчов CSCDU 72555
Пускайки пробван NETFLOW за да събирам трафикът от 3 портов гигабит карта на линия Етернет на маршрутизатор на Интернет на CISCO 12016 само може да събира трафик върху интерфейс на първият гигабит . Няма избягване . "
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Сивият цвят - събота ISC на SANS - Джош , януари 25 , 2003 4 : 01 сутринта
" информационна технология " S в същност Ан която подвиг базира на това ,
HTTP:// PACKETSTORMSECURITY .ORG / 0211 - подвизи / SQL 2 . CPP "
" инсталация на SP 3 след компромис изглеждаше до решение
<Изданието . " Бен KOSHY Бен @ медия на W 3 .NET > Събота , 25 януари , 2003 5 : 28 сутринта
Събота , 25 януари , 2003 5 : 28 сутринта
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
<TAMMANY на Ръсел Ръсел @ XPONENTIA .NET >
Събота , 25 януари , 2003 6 : 03 сутринта NTBUGTRAQ @ LISTSERV . NTBUGTRAQ . COMCOM < NTBUGTRAQ @ LISTSERV . NTBUGTRAQ .COM >
" текущият червей вървещ наоколо заразяващ 2000 сървери на г-н SQL "
" изпраща от порт изходящи 4741 включени които местната система веднъж зарази , Да
Случайно други сервитьори ще носят 1434 .
Аз настроих филтър за влизане на пакети на UDP за SRC = 4741 , и DEST = 1434
И потвърди това че това прави сервитьори за спирка от засягане . "
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Анекдотен докладва Интересен PIZAZZ :
" ние сме огромно виждане
Грамадни количества на ляв трафик от 1434 който стартира в 01 : да 40 източно време идва от всичко
Над световните и насочени при всички нашите клиенти . Ние виждаме ISS
REALSECURE SQL _ SSRP _ BO напада в количества като аз не ВИЖДАМ от NIMDA
Първо започвам с нещото на то . Произлизам от случайни портове на източник и
Насочвам към TCP / 1434 инча
===================================================================
Патрик NOLAN допринесе за този репортаж .
Последно обновяване : 2003 - 01 - 28 13 : 41 източно стандарно време
Изпращам обновявания към ISC @ SANS .ORG - JULLRICH