SA密碼為空(NULL)的不安全的SQL服務器容易受到蠕蟲攻擊(Q313418) 此文信息適應於: 1 Microsoft SQL Server 2000 (all editions) 2 Microsoft SQL Server version 7.0 症狀 在互聯網上已經發現了一個代號為“Voyager Alpha Force”的蠕蟲, 它利用那些系統管理員(SA)密碼為空的SQL服務器進行傳播。此蠕蟲通過掃描SQL的默認端口 1433端口來尋找SQL Server服務器。假如蠕蟲發現了一台服務器,它就嘗試用空(NULL)SA密碼登入那個 SQL Server的默認狀態。 假如登錄成功,它將把這個無防衛的SQL Server的地址廣播到一個互聯網中繼聊天(IRC)頻道上去, 並且嘗試從菲律賓的一個FTP站點加載和運行一個可執行文件。作為SA登錄入SQL Server 後用戶可以獲得計算機的管理員權限,並且依賴特定的網絡環境,還可以訪問其它的計算機。 防范 下面的每一步大體上都將使你的系統更加安全,並且單獨任何一種方法都將防止 這種特殊的蠕蟲感染你的SQL Server服務器。注意這些步驟是針對任何SQL Server 安裝的部分標准安全“最佳策略”。 1. 確保你的SA登錄帳號的密碼非空。只有你的SA登錄帳號沒有安全保障的時候蠕蟲才會工作。 因此,你應該遵循在SQL Server 聯機文檔中“系統管理員(SA)登錄”主題中的推薦模式,確保固有的SA帳號具有一個強壯的密碼, 即使是你自己從不使用SA帳號。 2. 在你的互聯網網關或防火牆上屏蔽1433端口和/或指定SQL Server監聽一個可選的端口。 3. 假如在你的互聯網網關上需要利用1433端口,啟動用於防止此端口濫用的流入/流出過濾。 4. 將SQLServer和SQL Server客戶端運行在微軟的Windows NT帳號下,而不是localsystem。 5. 啟動Windows NT驗證,啟動監聽成功和失敗的登錄,然後停止並重啟MSSQLServer服務。 設置你的客戶端使用NT驗證。 關於如何恢復一台已經被感染的系統的信息,,請訪問獨立的CERT協調中心的網站,網址如下: 恢復一台被感染的UNIX或NT系統的步驟 入侵者檢測清單 包含在此文中的第三方聯系信息有助於你發現你需要的技術支持。 這些聯系信息經常在不預先通知就改變了。微軟無法擔保這些第三方聯系信息的准確性。 更多信息 重要:這不是SQL Server的bug;這是由一個不安全的系統造成的缺陷。 下來文件暗示蠕蟲的存在: rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 ) dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 ) win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 ) 另外,下列注冊表鍵值的出現也暗示了此蠕蟲的存在: SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg 下列注冊表鍵值是關於一個SQL Server的現有鍵值,並已被蠕蟲利用來通過使用TCP/IP 網絡庫來控制計算機的訪問權: SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY 此蠕蟲利用xp_cmdshell擴展存儲程序,此程序允許蠕蟲執行任何運行SQL Server 服務的帳號有權執行的操作系統命令。 下列微軟網頁連接提供了關於如何保護你的SQL Server服務器的有關信息:
