精華區beta NTUScout 關於我們 聯絡資訊
作者hsiaotse (走一步算一步)
看板NTUScout
標題DDOS--分散是阻斷式攻擊
時間Mon Jan 27 11:30:03 2003
TW-CA-2003-007-[ CA-2003-04: MS-SQL Server Worm ] -------------------------------------------------------------------------------- TWCERT發布日期: 2003-01-26 原漏洞發布日期: 2003-01-25 分類: Virus and Worm。DoS。 來源參考: CA-2003-04 -------------------------------------------------------------------------------- 簡述 -------------------------------------------------------------------------------- CERT/CC 接獲報告指出有一隻利用 Microsoft SQL Server 2000 解析服務 (Resolution Service) 弱點的網蟲。這隻網蟲的自我複製除了造成受害主機的感染,還造 成網路效能的降低。 -------------------------------------------------------------------------------- 說明 -------------------------------------------------------------------------------- 這隻網蟲以 SQL Server 為目標,利用 Microsoft SQL Server 2000 解析服務 (Resolution Service)的兩個弱點。VU#370308 中記錄的弱點允許 SQL Server 解析服務 (Resolution Service)使用 keep-alive 功能對其它主機展開阻斷服務 (denial of service)攻擊。VU#399260 或 VU#484891 記錄的弱點則因為緩衝區溢出 (buffer overflow)而允許在 SQL Server 上執行任意程式碼。 CERT/CC接獲的報告指出,網段中受感染的主機及目標主機間會有大量的 1434/udp 流量產 生,造成效能下降的問題(可能會造成阻斷服務的狀態)。 從網路上任意 IP 位址傳送給 1434/udp 的小型 UDP 封包(376-410 byte)可以很容易辨識 出此網蟲的活動。 -------------------------------------------------------------------------------- 影響平台 -------------------------------------------------------------------------------- Microsoft SQL Server 2000 -------------------------------------------------------------------------------- 修正方式 -------------------------------------------------------------------------------- --安裝修正程式  建議執行 Microsoft SQL Server 2000 的系統管理者重新檢視 CA-2002-22 與 VU#370398 取得關於安裝修正程式的詳細資訊: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp --使用輸入/輸出過濾 (Ingress/Egress filtering)  下列步驟可以只限制已受網蟲感染系統所造成的損害。它們無法對感染的動作提供保護, 因此只建議做為附加的防範做法。  輸入過濾用於管理進入您可管控之網路的流量,伺服器通常是唯一需要接受由外部網路進 來之網路流量的主機。在一般網路使用政策中,外部主機只被允許起始與提供公開服務主 機特定通訊埠的對內連線,因此輸入過濾應禁止由外界所起始到內部未經授權的服務的流 量。  輸出過濾用於管理流出您可管控之網路的流量。通常提供公開服務的主機需要主動起始對 外連線的需要是很有限的。  在此案例中,輸入/輸出過濾可以防止您網路中受感染的系統攻擊其它網路的系統。阻斷 進出網路,來源或目標為 1434/udp 的封包可以減少內部及外部受感染系統溝通的機會。 --修復感染的系統  如果您確定您所管理的系統已經受到感染,請依以下連結的步驟來修復您的系統:   http://www.cert.org/tech_tips/win-UNIX-system_compromise.html ** 回報給TWCERT/CC ** TWCERT/CC 希望了解關於此網蟲的活動,若在您所管理的網路內發現受影響的主機,請以 電子郵件通知 TWCERT/CC (twcert@cert.org.tw),標題列註明 "SQL server worm MS02-039"。 -------------------------------------------------------------------------------- 影響結果 -------------------------------------------------------------------------------- 受到此網蟲感染表示遠端攻擊者可以在受害主機上用本機 SYSTEM user 的權限執行任意程 式碼。攻擊者可能會更進一步擴大權限以取得管理者(Administrator)權限。 在受網蟲感染的主機間產生的大量 1434/udp 流量會造成受感染主機及目標主機所在網路 的效能問題。 -- Work hard, be yourself, and have fun.