|
2003年1月25日,Slammer蠕虫曾经造成世界范围内的网络瘫痪,各地网络管理员在网关处的访问控制措施
迅速控制了蠕虫的传播和破坏,但是被感染的SQL Server服务器和有漏洞的计算机系统仍然大量存在,
构成了对网络安全极大的隐患。
近期,由于许多网络管理员取消了路由器上的控制措施,导致大量Slammert蠕虫死灰复燃,
再次对网络造成一定的影响和破坏。从近期的检测结果来看,Slammer蠕虫感染的计算机仍然大量存在,
因此建议网络管理员不要放松警惕,一则不要取消网关上的控制措施,二要彻底检查管理范围内的主机,
并为SQL Server 安装系统补丁。
附:Slammer 蠕虫信息
影响版本:
SQL Server 2000 RTM
SQL Server 2000 SP1
SQL Server 2000 SP2
Microsoft SQL Desktop Engine Version (MSDE) 2000
详细信息:
蠕虫感染一台有漏洞的主机过程如下:
1.将自身封装在一个376字节的udp数据包中发送到网络上任意地址主机的udp 1434端口
2.如果主机的SQL 服务器解析服务(SQL Server Resolution Service)开放并没有安装相应的补丁,蠕虫将利用漏洞覆盖一部分系统内存,以此获得
SQL 服务进程所拥有的安全权限。
3.调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地
4.在受害主机上建立一个socket,使用一个临时的端口发送封装有蠕虫的udp包到刚才产生的那些地址中,只要这些地址中存在具有该漏洞的主机均能感染
蠕虫具有以下特征:
1.使用udp协议传播,传播速度快,传播面积广
2.蠕虫感染系统后,只驻留内存不在硬盘上写任何文件
3.由于发送大量的udp包会产生巨大的网络流量,造成Dos攻击
检测和控制方法:
网络检测方法:
symantec提供了如下的网络检测规则
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm
propagation"; content:"|68 2E 64 6C 6C 68 65 6C 33 32 68 6B 65
72 6E|"; content:"|04|"; offset:0; depth:1;)
网络控制方法:
你可以在边界路由器上添加以下规则:
access-list 110 deny udp any any eq 1434
本地控制方法:
为有MS-SQL的机器安装最新的补丁
使用单机防火墙屏蔽udp1434端口
如果确定你的机器已经被感染了slammer蠕虫,请按以下方法操作:
1.暂时将本地的MS-SQL服务设为禁用,重新启动机器
2.下载相关的补丁到本地并安装
3.重新启用本地的MS-SQL服务
|
