За тези които имат MS SQL ili MSDE което е онлайн

Носете червеят на 1434 милисекунда - SQL

Публикувам : 2003 - 01 - 25

( предварителна мярка . Очаквайте чести обновявания )

Графика на разпростиране на червей :

HTTP:// ISC . SANS .ORG / порт 1434 започва . GIF

Уязвими системи

==================

Сървер 2000 на Майкрософт SQL

Настолен двигател на Майкрософт 2000 ( MSDE 2000 )

Кой е инсталиран като част от :

* сервитьорът 2000 на SQL ( разработчик , стандарт , и издания на предприятие )

* зрително студио .NET ( архитект , разработчик , и професионални издания )

Инструмент на матрица на мрежа на * ASP .NET

( различни версии ) на * Офис ЕксПи

* MSDN ( разнообразни нива за абонамент )

Достигнете 2002

* зрителен FOXPRO 7 . 0 / 8 . 0

За завършен списък , вижте :

HTTP:// WWW . SQLSECURITY .COM / DESKTOPDEFAULT . ASPX ? TABINDEX = 10 и TABID = 13

( виждам по-долу за кръпка / детайли на сервизен пакет )

Резюме

=======

Стартирайки 05 : UTC от 30 г. ( 00 : 30 източно стандарно време ) в събота 25 ти януари 2003 , в световен мащаб

Трафик за порт 1434 UDP нарастна бързо причинявайки главен Интернет

Връзки ще се провалят . Интернет-доставчици които отговориха бързо чрез блокиране носят 1434 .

Докато трафик все още е силен в някои площи . То падна значително

От неговият максимум . Около 35 , 000 домакини изглеждат да бъдат заразени за момента .

До сега , този червей беше наречен " сапфир " , " SQL - адът " и

" г-жа SLAMMER " .

Червеят изпраща 376 байтов дълъг пакет на UDP към ляво използване от 1434 случайно

Цели при много висока скорост . Уязвими системи незабавно ще започват

Изпращайки еднакви 376 пакети на байт веднъж те са заразени .

Червеят изпраща трафик към случаен IPS , включително MULTICAST IPS ,

Кой може да подобрява неговата полезна ( ДОС ) способност за отказ .

Единствени сървери на Майкрософт - SQL бяха докладвани за да генерират трафик в крайност

От 50 сек. на MBIT / . След заразяване .

Репортажът за здраве на интернетът на ключовият камък все още докладва деградация за връзката :

WWW на HTTP:// 1 . INTERNETPULSE .NET / Като резултат на понижени връзки , корен DNS

Сервитьори и други ресурси бяха неналични понякога .

Смекчаване

==========

- блок носи входящи и изходящи 1434 UDP .

- потвърдете , че вие приложихте всички кръпки към милисекунди , SQL сървери , в частност

Майкрософт 02 - 039 : буфер надхвърля в сърверът на SQL 2000 услуга за решителност можеше

Позволявам инфекция : на екзекуция на код която ( Q 323875 ) предотвратява

HTTP : / / Майкрософт на WWW . .COM / TECHNET / TREEVIEW / стандартен .ASP ? URL = сигурността на / TECHNET / / бюлетин / Майкрософт 02 - 039 .ASP

Важно : ( от постът на NTBUGTRAQ до Ерик SCHULTZE )

" Майкрософт 02 - 039 е приложим към сърверът 2000 на SQL и MSDE 2000 SP 2 . Тези

Пускайки SQL без SP на Ан , или SQL 2000 които SP 1 ще трябва да подобрява до SP 2

Да прилага тази кръпка , или инсталация SQL 2000 SP 3 .

Уместният файл в г-жа 02 - 039 е SSNETLIB .DLL . Вие трябва да имате

2000 . 80 . 636 . 0 или по-късен от толкова файловият която ще бъде премислян кърпяни . "

- монитор - вашият мрежов за домакини изпращащи големи на 1434 пакети на UDP за номер .

- CISCO - RECOMENDATIONS :

HTTP:// WWW . CISCO .COM / изкривяване / публичен / 707 / CISCO - SN - 20030125 - червеят . SHTML

Почистване

=======

- Разкачнете система от мрежа

- спиране - системно

- захранваща система повалена

- Рестартирайте система .

- се прилагат кръпки ( виждам по-горе )

- Се свържете отново с мрежа и система на монитор

Червеят не пише на диск и престои в памет . Глупак рестартира завещание

Почиствайте заразена машина . Забележете онова поради високият обем в трафик

Този червей генерира , каквато и да е уязвима система , свързана с Интернет е

Вероятно да бъдеш заразен в минути .

Откриване

=========

Правило за пръхтене ( до Крис BRENTON ) :

> Предупредете UDP $ Външен _ лови каквато и да е - $ Дом _ мрежа 1434 ( MSG : " червей на сапфир на SQL " ,

> dsize:300; content: "|726e 5168 6f75 6e74 6869 636b 4368 4765|";

Компенсирайте : 150 , дълбочина : 75 , )

( това пръхтене нарежда подхожда участието на подвиг , а не подплатата , кой прави

Специфична информационна технология ще подвигът използуван , не трябва към тази подробност да обезпаразитява )

Ето склад на пакет от който аз създадох моята сигнатура на пръхтене :

0: 0003 ba0b e48d 0050 7343 a257 0800 4500 .......PsC.W..E.

16: 0194 00f2 0000 6d11 d101 da39 813a c331 ......m....9.:.1

32: 42d1 10c8 059a 0180 aa1d 0401 0101 0101 B...............

48: 0101 0101 0101 0101 0101 0101 0101 0101 ................

64: 0101 0101 0101 0101 0101 0101 0101 0101 ................

80: 0101 0101 0101 0101 0101 0101 0101 0101 ................

96: 0101 0101 0101 0101 0101 0101 0101 0101 ................

112: 0101 0101 0101 0101 0101 0101 0101 0101 ................

128: 0101 0101 0101 0101 0101 01dc c9b0 42eb ..............B.

144: 0e01 0101 0101 0101 70ae 4201 70ae 4290 ........p.B.p.B.

160: 9090 9090 9090 9068 dcc9 b042 b801 0101 .......h...B....

176: 0131 c9b1 1850 e2fd 3501 0101 0550 89e5 .1...P.5....P..

C 6 на 192 : 5168 2 E 64 6 C 6865 6 C 33 3268 6 милиарда 65 726 E QH . DLLHEL 32 HKERN

QHOUNTHICKCHGETT на 208 : 5168 6 F 75 6 E 74 6869 636 милиарда 4368 4765 7454

9 на 224 : 66 B 6 C 6 C 5168 3332 2 E 64 6877 7332 5 F 66 F . LLQH 32 . DHWS 2 _ F

240 : B 965 7451 6873 6 F 63 6 милиарда 66 милиарда 974 6 F 51 6873 . ETQHSOCKF . TOQHS

256 : 656 E 64 съм край на AE 42 8 D 45 D 450 FF 16 508 D от 1810 г. ... ... B . E . P ... P .

272 : 45 E 0 508 D 45 F 0 50 FF 1650 ВЕ 10 10 AE 428 милиарда E . P . E . P ... P . ... милиарда .

EC на 288 : 1 E 8 милиарда 033 D 558 милиарда 51 7405 е на 1 C 10 AE 42 FF ... = U . . QT ... ... милиарда .

304: 16ff d031 c951 5150 81f1 0301 049b 81f1 ...1.QQP........

320 : 0101 0101 518 D 45 СС 508 B 45 C 0 50 FF 166 A . ... Q . E . P . E . P ... J

336 : 116 A 026 A 02 FF D 050 8 D 45 C 450 8 милиарда 45 C 050 . J . J ... P . E . P . E . P

< 3 на FF 16 89 C 6 09 ДБ 81 F3 от 352 : г. C 61 D 9 FF 8 B 45 B 48 D ... ... ... A ... E . .

368: 0c40 8d14 88c1 e204 01c2 c1e2 0829 c28d .@...........)..

384: 0490 01d8 8945 b46a 108d 45b0 5031 c951 .....E.j..E.P1.Q

400 : 6681 45 50 FFD за променлив ток 6 F ... X . Q . F 178 0151 8 D 45 0350 8 милиарда E . P . E . P . .

416 : EBCA ...

Анекдотни репортажи на списък ( по-долу ) казват че червеят може да се активира

NETFLOW прехвърлящ идентификация на бъг - бъг на CISCO CSCDU 72555 - която е адресирана като инчова

" определени възражения CISCO IOS пускат 12 . 0 ( 18 ) сек. 2 " ( се свързват по-долу ) .

Детайли

=======

Този червей използува уязвимост ако е " портът на мониторът " на SQL - сърверът .

Портът на мониторът е използуван да открива кои методи за връзка на ар

Предлагам чрез подробност сервитьор . Съобщението , изпратено от клиентът обикновено е

Единствен байт ( 0 X 02 ) . Отговорът зависи от конфигурацията на сервитьорът .

Както и да е , Дейвид - LICHTFIELD

( HTTP:// WWW . NGSSOFTWARE .COM / упътвания / MSSQL - UDP .TXT ) Откривам две

Условия за преливане на буфер в тази услуга , която може да бъде практикувана да изпълнява

Своеволен код в контекст за сигурността на сърверът .

Червеят кодира завещание , след като то зарази сервитьор , генерирайте пакети на UDP

Случаен IPS . Друг товар не е известен за момента и основан на споразумението

Информационна технология на код е невероятна че друг товар съществува .

Уместни връзки

==============

Упътването на Майкрософт

/ сигурност / на .COM на Майкрософт на HTTP:// WWW . SLAMMER .ASP

Упътване за сигурна работа :

/ упътвания / на .ORG за сигурна работа на HTTP:// WWW . Калифорния - 2003 - 04 .HTML

Г-н кръпка :

HTTP : / / Майкрософт на WWW . .COM / TECHNET / TREEVIEW / стандартен .ASP ? URL = сигурността на / TECHNET / / бюлетин / Майкрософт 02 - 039 .ASP

Г-жа SERIVCE качва 3 :

HTTP:// WWW . Майкрософт .COM / SQL / даунлоуди / 2000 / SP 3 .ASP

Упътването на LICHTFIELD г-жа UDP :

HTTP:// WWW . NGSSOFTWARE .COM / упътвания / MSSQL - UDP .TXT

Обезпаразитете код :

HTTP:// WWW . DIGITALOFFENSE .NET / червеи / MSSQL _ UDP _ червей /

HTTP:// WWW . EEYE .COM / HTML / проучване / блясване / сапфир .TXT

Упътвания за г-н сигурна работа :

HTTP:// WWW . - килобайтов . / идентификация / 370308 на .ORG VULS / за сигурна работа

HTTP:// WWW . - килобайтов . / идентификация / 399260 на .ORG VULS / за сигурна работа

HTTP:// WWW . - килобайтов . / идентификация / 484891 на .ORG VULS / за сигурна работа

HTTP:// WWW . - килобайтов . / идентификация / 796313 на .ORG VULS / за сигурна работа

Уместни подвизи на Майкрософт - SQL :

HTTP:// WWW . NEXTGENSS .COM / упътвания / MSSQL - UDP .TXT

HTTP:// PACKETSTORMSECURITY .ORG / 0211 - подвизи / SQL 2 . CPP

Репортаж за първостепенното здраве на интернетът :

WWW на HTTP:// 1 . INTERNETPULSE .NET /

Упътване на контролен пункт :

Контролен пункт на HTTP:// WWW . .COM / TECHSUPPORT / документация / SMARTDEFENSE / 2003 / CPAI - 2003 - 04 .HTML

Цитати на разни от ISC които прониквания описват

=====================================

Изпратен от Джордж Уилиам Хърбърт

Събота , 25 януари , 2003 4 : 44 сутринта

BUGTRAQ @ SECURITYFOCUS . COMCOM < BUGTRAQ @ SECURITYFOCUS .COM >

" 1 гръбнаци на ред докладват лоша нощ : изпращане

Нестабилности , един майор изпуснаха повечето от неговото взиране

За момент , томът от това причинява CISCO

NETFLOW преминаващ тормози и причинява маршрутизатори да се заключват

Нагоре АТ се размени , и т. н. . "

Преминаващата идентификация на бъг - бъг на CISCO NETFLOW CSCDU 72555 беше адресиран в " определени възражения CISCO IOS пускат 12 . 0 ( 18 ) сек. 2 "

HTTP:// WWW . CISCO .COM / ен / американски / продукти / SW / IOSSWREL / PS 1829 / мушка _ пускане _ бележка 09186 A 0080132 9 F .HTML

Междуплатформно пускане забелязва че за CISCO IOS пуска 12 . 0 сек. , част 3 : възражения

В частта " определени възражения CISCO IOS пускат 12 . 0 ( 18 ) сек. 2 " ( забелязвам думата " определен " )

Инчов CSCDU 72555

Пускайки пробван NETFLOW за да събирам трафикът от 3 портов гигабит карта на линия Етернет на маршрутизатор на Интернет на CISCO 12016 само може да събира трафик върху интерфейс на първият гигабит . Няма избягване . "

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Сивият цвят - събота ISC на SANS - Джош , януари 25 , 2003 4 : 01 сутринта

" информационна технология " S в същност Ан която подвиг базира на това ,

HTTP:// PACKETSTORMSECURITY .ORG / 0211 - подвизи / SQL 2 . CPP "

" инсталация на SP 3 след компромис изглеждаше до решение

<Изданието . " Бен KOSHY Бен @ медия на W 3 .NET > Събота , 25 януари , 2003 5 : 28 сутринта

Събота , 25 януари , 2003 5 : 28 сутринта

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

<TAMMANY на Ръсел Ръсел @ XPONENTIA .NET >

Събота , 25 януари , 2003 6 : 03 сутринта NTBUGTRAQ @ LISTSERV . NTBUGTRAQ . COMCOM < NTBUGTRAQ @ LISTSERV . NTBUGTRAQ .COM >

" текущият червей вървещ наоколо заразяващ 2000 сървери на г-н SQL "

" изпраща от порт изходящи 4741 включени които местната система веднъж зарази , Да

Случайно други сервитьори ще носят 1434 .

Аз настроих филтър за влизане на пакети на UDP за SRC = 4741 , и DEST = 1434

И потвърди това че това прави сервитьори за спирка от засягане . "

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Анекдотен докладва Интересен PIZAZZ :

" ние сме огромно виждане

Грамадни количества на ляв трафик от 1434 който стартира в 01 : да 40 източно време идва от всичко

Над световните и насочени при всички нашите клиенти . Ние виждаме ISS

REALSECURE SQL _ SSRP _ BO напада в количества като аз не ВИЖДАМ от NIMDA

Първо започвам с нещото на то . Произлизам от случайни портове на източник и

Насочвам към TCP / 1434 инча

===================================================================

Патрик NOLAN допринесе за този репортаж .

Последно обновяване : 2003 - 01 - 28 13 : 41 източно стандарно време

Изпращам обновявания към ISC @ SANS .ORG - JULLRICH