AndAudio.com

音悅那邊的網站主機也中招了, 上星期五六就出現問題了, 不得已最後先關掉資料庫, 直到下載修補程式.

微軟還真的是.....

----
新型電腦病毒肆虐 微軟疾呼用戶下載防駭程式
何英煒、何伯陽/台北報導


全球大型防毒及資訊安全業者昨（二十六）日發佈駭客型病毒警訊，這一隻WORM_SQLP1434.A.病毒，特別針對微軟資料庫伺服器（Microsoft SQL Server）為攻擊目標，並且已經造成嚴重災情，全球網路用戶風聲鶴唳。而台灣微軟則表示，已經提供修正程式讓用戶下載，也已主動請客戶安裝修正程式，避免遭到病毒威脅。前天中華電信代管主機也出現無法連線的情況，也已經在昨天恢復正常，中華電信數據分公司（Hinet）仍持續監控網路流量。

這次駭客型病毒主要是針對微軟SQL Server2002的漏洞進行攻擊，台灣微軟公昨日緊急對外宣布，已在微軟網站上提供修正程式（Hotfix）及Service Pack 3，讓企業客戶下載並且安裝，以避免遭受攻擊。


台灣微軟公司表示，該 SQL Server 2000修正程式已於去年七月三十一日公佈於微軟公司網站上，並且主動通知客戶下載，如果用戶已安裝該修正程式可免受此次病毒的威脅。對於有部分企業尚未即時安裝，導致遭受病毒影響，台灣微軟前天發現病毒後即主動通知企業用戶及技術支援合約客戶，提醒他們重視此一病毒可能造成的影響與解決方案。

防毒軟體公司趨勢科技和賽門鐵克昨也同步發佈病毒警訊。趨勢科技表示，近日在美國及全球各地造成災害的駭客型病毒，名稱為WORM_SQLP1434.A ，是具有「高風險」和破壞性的病毒，賽門鐵克昨日也發佈「三級」警訊。專家表示，該駭客型病毒採取分散式阻斷服務（DDOS），唯獨攻擊微軟SQL Server 2000及Desktop Engine（MSDE） 2000的弱點，攻擊SQLServer輸出服務埠（UDP port1434），以大量封包消耗網路資源。

從二十五日開始，台灣地區有不少大型網站、ISP（網際網路連線服務公司）的服務受到影響，趨勢科技認為，這個病毒的攻擊模式以及破壞威力，不亞於當年造成嚴重損失的「紅色警戒病毒」。目前該病毒正在全世界快速散播，包括美國、大陸、韓國、日本及台灣，都陸續有災情傳出，網路不但壅塞，也頻頻當機。

雖然這波網路病毒攻擊事件昨日已經獲得控制，不過為了防制網路病毒再度作怪，中華電信數據分公司仍全面總動員，除了規劃在今、明二天全面監控網路流量外，也重新檢測所有伺服器，預防類似事件再度發生。數據公司副總李炎松表示，目前除了少數主機代管的客戶尚未連繫上外，所有伺服器都已恢復正常。不過，為了類似網路攻擊事件再起， Hinet的網管人員和資通小組成員將全面監控網路流量，視情況決定是啟動資通安全機制。

由於國內許多微軟資料庫伺服器當機，加上南韓、泰國、日本、馬來西亞、菲律賓、韓國和印度等地網路用戶和新聞媒體也廣都影響，美國FBI 也懷疑此事為國際恐怖份子所為，中華電信數據分公司昨日召集所有處室及主管開會協商，並在全面監控網路流量，並重新檢視所有微軟資料庫伺服器。

去年大概 4 月就有消息出來, 可能會有針對利用 MSSQL 的 TCP 弱點攻擊的警告, MS 也在同年 7 月底釋出修正檔 (sp3 裡也有 ).

至於目前使用的 MSSQL 是啥版本, 請在 Query Analyzer 下執行 SELECT @@VERSION 就一目了然了. 不過除了 MSSQL 以外, 有裝 Analyzer Service 也必須裝 sp3 (sql2kasp) , 不然還是會造成 DoS 的.

至於下一階段, 據說是利用 SMB ( NetBIOS) 的漏洞作攻擊, 到時可能就不是 DoS 而已了.

nox 寫:去年大概 4 月就有消息出來, 可能會有針對利用 MSSQL 的 TCP 弱點攻擊的警告, MS 也在同年 7 月底釋出修正檔 (sp3 裡也有 ).

至於目前使用的 MSSQL 是啥版本, 請在 Query Analyzer 下執行 SELECT @@VERSION 就一目了然了. 不過除了 MSSQL 以外, 有裝 Analyzer Service 也必須裝 sp3 (sql2kasp) , 不然還是會造成 DoS 的.

至於下一階段, 據說是利用 SMB ( NetBIOS) 的漏洞作攻擊, 到時可能就不是 DoS 而已了.

這....還是針對 MS SQL Server 嗎？

RogerShih 寫:

nox 寫:至於下一階段, 據說是利用 SMB ( NetBIOS) 的漏洞作攻擊, 到時可能就不是 DoS 而已了.

這....還是針對 MS SQL Server 嗎？

我發誓我絕對不是被派來搞破壞的

嗯...
應該說是 [網路芳鄰] 的東西. 不過,除了這玩意以外, 連 MS Shell 都有問題.

可以參考 http://www.gsn-cert.nat.gov.tw/ , 會發現網路真的很不安全.

PS. 補充 http://cert.ntu.edu.tw 這個, 算是比較新聞類型的.至於 gsn-cert 則比較偏向提前通知.

再補充, 有些人以為改個 port 就可以躲開, 殊不知其實 tcp 的服務建立在雙向 [對應] 上. 也就是試著 telnet >target >port 的時候, 就會發現是什麼服務像您說 hi.

ex. telnet msa.hinet.net 25 的時候, sendmail 8 就出來啦, 如果是 telnet www.pchome.com.tw 80 就是 web 登場, 66 就是 oracle 上台...

SQLServer只開name pipe就好了
從此與TCPIP不發生任何關係
TCP/IP NetBIOS Helper Service也記得要關掉

嗯...
很難, 小弟只能這麼說. 如果僅只是公司內部開發或是 VPN 的話, 當然直接來個 name pipe 就可以搞定, 但是一到叢集或是 ISP 這種情況, 卻使力有未怠也.

其外, 如果 SERVER 不在控管的範圍內, 而必須經由 Internet 呢?

當然 NetBIOS 絕對不允許可以通過路由到網際網路上, 但有多少具有資格的人搞的懂如何關掉 MS 的 445 port? (補充, 不是真的說把 445 個關掉, 只是個比方...)

弄個火牆或是走 VPN 的話, 小弟不知跟多少公司提過, 絕果還是讓這種根本不可能 ( 也絕對不允許 ) 會發生的事弄得這麼大... 說實在的, 小弟這幾天真有點隔岸觀火燒的心情存在 (別 K 我), 但是言者諄諄, 聽者渺渺... 下一次會只是 DoS 而已? 連 root's named 都有人在動手了, 一般公司 (或個人) 躲的掉嗎?

再補充. 這次出問題的不止 TCP 1434, TCP and UDP 的 1433 , TCP 1434 以及 UDP 1435 都是幫兇.

請問用linux會比較沒有這方面的問題嗎？

JCP 寫:請問用linux會比較沒有這方面的問題嗎？

應該也有這種問題,
像RogerShih的文章也有提到在之前MS已經有針對這bug有patch,
可是還是這麼多人中標
足見沒用心管理的機器很不安全.

我個人是用Debian Linux,:ho:
然後接它的debian-security-announce mailing list來看,
這樣就安心多了.

但是我們Lab的server是用FreeBSD,是admin的喜好問題,:eeh:
他也有看mailing list的習慣,所以也很安心

我家裡的server是灌OpenBSD,是我的喜好,:twisted:
我也有看OpenBSD mailing list的習慣,所以也很安心.

所以由以上得證:用啥OS是個人喜好問題,但是看mailing list是admin的責任

Roger,是那天嗎?我就說..換linux比較妥當!

不然..要定期上Windows Update(懶人法)!

基本上, 這種話題是個無限迴圈...

ex. http://taiwan.cnet.com/news/ec/story/0, ... 109,00.htm

提到, 連 MS 自己都逃不過這次的攻擊; 而且如果系統內包山包海的, 下一個出問題的不知道又是誰.

唯一的解決方法, 只有拔掉對外的網路線才能算是真正的安全吧.

nox 寫:基本上, 這種話題是個無限迴圈...

ex. http://taiwan.cnet.com/news/ec/story/0, ... 109,00.htm

提到, 連 MS 自己都逃不過這次的攻擊; 而且如果系統內包山包海的, 下一個出問題的不知道又是誰.

唯一的解決方法, 只有拔掉對外的網路線才能算是真正的安全吧.

可是我看過一個真人卡通忘了叫什麼名字了
病毒怪獸不是用網路線而是用電線傳輸的
本來覺得太誇張了
可是現在還真的有那種以家庭電路建構區域網路的產品ㄝ