sorry за оффтопик, НО ЭТО ДЕЙСТВИТЕЛЬНО ВАЖНО
Хотя бы потому, что в субботу вечером нормального sysadmina легче встретить здесь, чем на специализированных сайтах...
Хммм... А меня вот вытащили из-за этих пидоров на работу...
Итак:
Дополнение - 1.:
Некоторые подробности о новом черве, поразившем Интернет.
Как стало известно из списка рассылки BUGTRAQ, в результате
действий нового червя были поражены несколько магистральных каналов. Сообщается
также о выводе из строя сетей в Австралии, США, Канаде.
Анализ действий червя позволил сделать вывод, что он использует уязвимость
в MS SQL-сервере. При этом на порт UDP
1434 посылается пакет длиной 376 байт. Анализ
кода червя уже предварительно произведён.
Рекомендуется: Перекрыть доступ
к порту 1434/UDP (некоторые
специалисты рекомендуют также к 1433) cнаружи при помощи файрволлов.
Если нет возможности, выключить службы SQL на серверах!
Природа червя (распространение посредством протокола UDP)
способствует высокой скорости распространения червя.
 Администраторам MS
SQL-серверов НАСТОЯТЕЛЬНО рекомендуют применить
патч от Microsoft! Примечательно то, что об уязвимости
в MS SQL 2000 сообщалось ещё в июле прошлого года.
 Описание уязвимости
[Здесь],
Патч от Microsoft призванный решить проблему [Здесь],
Пердварительный анализ червя [Здесь]. UINC.RU
Дополнение-2.:
Официальная информация из Лаборатории Касперского об
интернет-черве "Helkern" ("Slammer").
Интернет-червь "Helkern" ("Slammer"),
заражающий сервера работающие под Microsoft SQL
Server 2000. Распространяется от компьютера к компьютеру
пересылая на очередной (заражаемый) компьютер через порт 1434,
свой код и запуская этот код на выпо-лнение путём использования ошибки
в программном обеспечении MS SQL. Червь имеет крайне
небольшой размер - всего 376 байт.
Червь
присутствует только в памяти зараженных компьютеров и не создаёт своих копий
в дисковых файлах. Более того, при работе червя никакие файлы не создаются,
и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).
При
активизации на заражаемом компьютере червь получает адреса трёх функций Windows: GetTickCount (KERNEL32.DLL), socket, sendto (WS2_32.DLL).
Затем червь в бесконечном цикле посылает свой код (командой "sendto")
на случайно выбранные адреса в сети (при этом используте случайные данные от
команды "GetTickCount").
Поскольку SQL-сервера
часто используются в качестве стандартной базы данных на Web-серверах,
то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку
все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные
адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.
Для
реализации атаки на сервера используется одна из ошибок в защите IIS типа: Remote
Buffer Overrun Vulnerability. Название конкретной применяемой атаки: Unauthenticated
Remote Compromise in MS SQL Server 2000.
Данная
ошибка была обнаружена в июле 2002 года и исправлена
последующими патчами к MS SQL Server 2000.
Подробное описание уязвимости можно найти на сайте Microsoft: Microsoft
Security Bulletin MS02-039 и NGSSoftware
Insight Security Research Advisory. Патч к MS SQL Server
2000 исправляющий данную ошибку можно скачать с
сайта Microsoft. Также рекомендуется запускать SQL
Server c минимальным уровнем привелегий локальных аккаунтов, без системного
или доменного аккаунта. kaspersky.ru
Дополнение-3.:
Описание червя W32.SQLExp.Worm и
методы борьбы от Symantec можно прочитать здесь.
Все на борьбу с сетевыми пидорасами !!!
--------------------
| "Мы посылаем на х@й со спокойной душой" |
|
Назад
Конференция
Вперед
Списком
Re: Ахтунг! Дополнения! +
[ #
Редактировать
Ответить
Цитата
