image

SQLsnake

woensdag 22 mei 2002, 10:26 door Redactie, 12 reacties

incidents.org maakt melding van een worm die zich verspreidt middels de extended stored procedure 'feature' van MS SQL. Vele administrators hebben al scans gemeld op TCP port 1433, waar de MS SQL server doorgaans op luistert.

Reacties (12)
22-05-2002, 10:59 door pierpanda
Ik was gisteren op het Internet, en binnen ongeveer 1 uur werden twee pogingen gedaan om poort 1433 op mijn computer te openen. De intrusion analyser en Firewall gaven IP-adressen aan, waarvan de eerste uit Hong Kong kwam en de tweede uit Georgia, Verenigde Staten. Het was ook precies op die avond dat ik de laatste virusdefinities ophaalde en merkte dat er een nieuwe worm was opgedoken. Deze worm is een combinatie tussen een Trojaans Paard en een Internet worm.

Het is dus van groot belang om de Firewall-regels bij te werken, zodat poort 1433 niet geopend kan worden.

Ik heb overigens het abuse e-mailadres van de betreffende SQL server in de VS weten te traceren en ze op de hoogte gebracht van deze mogelijke besmetting.


Pierpanda
22-05-2002, 11:40 door Anoniem
Object containing the commands to be run via xp_cmdshell, and then passes them to the non-password protected default "sa" SQL Server Administration account.

Een van de eerste dingen die je moet doen met mssql is een password zetten op het sa account, dat weet iedereen. Als je zo dom bent om geen pass te zetten op da account dan verdien je het om gehacked te worden.

Als je de security bulletins leest dan weet je ook dat je esp ook nooit never moet aanzetten.
22-05-2002, 12:33 door Anoniem
Originally posted by pierpanda

Het is dus van groot belang om de Firewall-regels bij te werken, zodat poort 1433 niet geopend kan worden.

Pierpanda [/B]


Het lijkt me zowizo wel handig dat je ervoor zorgt dat er niet maarzo poorten geopent kunnen worden.
22-05-2002, 16:01 door Anoniem
Originally posted by Unregistered


Als je de security bulletins leest dan weet je ook dat je esp ook nooit never moet aanzetten.

Dat wordt lastig met het opbouwen van ipsecverbindingen dan.
22-05-2002, 19:39 door pierpanda
Originally posted by gvmanen



Het lijkt me zowizo wel handig dat je ervoor zorgt dat er niet maarzo poorten geopent kunnen worden.

===================================
Ja, maar er zijn Firewalls die automatisch de zaak configureren (na het instellen van een slide). Er bestaan ook Firewalls die handmatig moeten worden geconfigureerd met het instellen van een nieuwe Rule. Beiden hebben het zelfde effect. Wie dus een Firewall heeft met z.g. Rules doet er goed aan poort 1433 te blokkeren.

Pierpanda.
22-05-2002, 20:13 door Anoniem
Originally posted by Unregistered


Dat wordt lastig met het opbouwen van ipsecverbindingen dan.

De vorige persoon bedoele waarschijnlijk extended stored procedures met esp, niet de ESP die zich rond IPSEC beweegt. Da's namelijk net iets anders :)
22-05-2002, 21:01 door Anoniem
Originally posted by pierpanda


===================================
Wie dus een Firewall heeft met z.g. Rules doet er goed aan poort 1433 te blokkeren.

Pierpanda.

Zet gewoon alles dicht by rule en open alleen wat echt nodig is. Anders blijf je bezig. Of denk ik nou te moeilijk....
22-05-2002, 21:13 door Anoniem
Poort open of poort dicht... degene die niet eens de moeite nemen om hun database server dicht te zetten dmv een simpel password snappen er zowieso niets van. Als een database open staat kan je nog veel ergere dingen doen dan een simpel virusje...
22-05-2002, 21:36 door Donz
Een van de eerste dingen die je moet doen met mssql is een password zetten op het sa account, dat weet iedereen. Als je zo dom bent om geen pass te zetten op da account dan verdien je het om gehacked te worden.

Het probleem met MS is dat al die onzin vaak automatisch geinstalleerd wordt en MS systeembeheerders vrijwel altijd te dom zijn om het dicht te maken.
Op het werk hebben ze een groot automatiseringsbedrijf een Windows server laten plaatsen, het ding zit VOL met beveiligingsfouten en gaten omdat er veel te veel overbodige services draaien, nessus bevestigde mijn vermoedens.

Maar ik vind zowieso dat iedereen die Windows draait het verdient om gehacked te worden, anders gebruikten ze wel een UNIX achtig systeem. Dus no problem there mate :D
22-05-2002, 23:13 door pierpanda
Originally posted by Donz


Het probleem met MS is dat al die onzin vaak automatisch geinstalleerd wordt en MS systeembeheerders vrijwel altijd te dom zijn om het dicht te maken.
Op het werk hebben ze een groot automatiseringsbedrijf een Windows server laten plaatsen, het ding zit VOL met beveiligingsfouten en gaten omdat er veel te veel overbodige services draaien, nessus bevestigde mijn vermoedens.

Maar ik vind zowieso dat iedereen die Windows draait het verdient om gehacked te worden, anders gebruikten ze wel een UNIX achtig systeem. Dus no problem there mate :D

======================================

Naar mijn idee verdient niemand om gehacked te worden. Wie de zaak WEL goed beveiligt (Windows platform) hoeft zich wat minder zorgen te maken. Mijn Windows platform is nog nooit gehack, ondanks alle pogingen van hackers, crackers ten spijt. Het ontbreekt genoemde personen (systeem beheerders) aan een fundamenteel veiligheidsdenken. Wie niets aan preventie doet, zal uiteindelijk op de blaren moeten zitten.

Pierpanda
22-05-2002, 23:22 door pierpanda
Ik heb vandaag antwoord gekregen van het Abuse e-mailadres. De ISP (rfilipovich-vpn.newnanutilities.org) heeft mij laten weten dat de betreffende klant is bezocht door een team van de ISP. De Routers zijn voor deze klant geblokkeerd.


Pierpanda.
22-05-2002, 23:57 door Anoniem
Originally posted by pierpanda
Ik heb vandaag antwoord gekregen van het Abuse e-mailadres. De ISP (rfilipovich-vpn.newnanutilities.org) heeft mij laten weten dat de betreffende klant is bezocht door een team van de ISP. De Routers zijn voor deze klant geblokkeerd.


Pierpanda.

oh goeie godgloeiende mafketels.. ik vraag me uberhaubt in ERNSTIGE mate af wat jullie allemaal bezield om database servers zowiezo buiten een dmz of iets dergelijks direct op het internet te hangen.. een BEETJE ECHTE admin zet IDD alleen de poorten open die nodig zijn en DROPPED ALLE OVERIGE request.. icmp is bijvoorbeeld helemaal niet per sé nodig dus dicht die hap en ga maar door. en volgens mij worden database servers niet zo vaak direct aan het internet gehangen.. lever OF xs naar de database middels een interface gewoon op HTTP of 80 en dan je database ergens diep achterin je dmz OF gewoon een andere standaard poort en access restricten op IP (waarbij je zowiezo toch al meer risico loopt).. mijn suggestie is een VPN tunnel met ALTIJD INDIRECT db access.. aju paraplu en veel succes

pream.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.