mboost-dp1

unknown

‘Code Red’ igen

- Via Atlanta Journal-Constitution -

En virus som udnytter en fejl i Microsoft’s SQL Server, spredte sig med lynets hast natten til Lørdag, og nedlagde 5 af de ialt 13 root nameservere. Eksperter siger at angrebet ligner meget den Code Red virus som vi så sommeren 2001.

Fejlen blev opdaget for 6 mdr. siden, og Microsoft anså fejlen som kritisk, de tilbød en gratis patch, men det er umuligt at vide hvor mange computer administratorer som har anvendt rettelsen.





Gå til bund
Gravatar #1 - IzeBurn
25. jan. 2003 23:31
Sikke en ansvarlig system administrator de servere som er gået ned har!
Gravatar #2 - Omni
25. jan. 2003 23:39
tjoo jow jow.
Gravatar #3 - annoia
25. jan. 2003 23:51
"men det er umuligt at vide hvor mange computer administratorer som har anvendt rettelsen."
... Ikke mere ;)
Gravatar #4 - Gruesome
25. jan. 2003 23:54
Lige for at få det på plads, er "Code Red" en virus eller en orm?
Gravatar #5 - Hektor
25. jan. 2003 23:54
#3 annoia:
"... Ikke mere ;)"

Suk.

Antal maskiner med MSSQL: Ukendt
Antal maskiner inficeret: Kendt
Antal maskiner, der er patchet: Ukendt
Antal administratorer, der står for maskinerne: Ukendt
Antal administratorer, der har brugt patchen: Ukendt

1 ligning med 4 ubekendte. God fornøjelse med at regne det ud.
Gravatar #6 - annoia
26. jan. 2003 00:00
Hektor - Tal om at prøve at finde noget irrelevant... Din kommentar er ligegyldig.
Gravatar #7 - mikbund
26. jan. 2003 00:01
Jeg var bare glad for apache og linux for min log siger at der var mange forespørgsler efter cmd.exe :)

admins tag jer sammen, windows kan være sikkert men i skal patche det!
Gravatar #8 - SKPFræser
26. jan. 2003 00:12
#7 der findes også en orm ting der kan komme ind gennem apaches ssl hvis den ikke er opdateret
#9 - 26. jan. 2003 00:23
Hvor svært kan det være?

http://www.microsoft.com/sql/techinfo/administrati...

#8

Den hedder "Slapper" ormen
Gravatar #10 - Nux
26. jan. 2003 00:27
Mere info om den nye orm kan findes her:
http://www.cert.org/advisories/CA-2003-04.html

Den "gamle" SQL orm gik efter default SA brugernavne uden password (Spida orm)
Gravatar #11 - FISKER_Q
26. jan. 2003 00:36
den nye orm sender bare lidt bufferoverflow data til port 1434(udp), tror ikke det er andet end 400bytes vi snakker om.
Gravatar #12 - mikbund
26. jan. 2003 00:46
#8
"#7 der findes også en orm ting der kan komme ind gennem apaches ssl hvis den ikke er opdateret"

Jeg er udmærket klar over der findes fejl i apache :-) Det jeg mente var, jeg var glad for den _ikke_ gik efter apache og det jeg bitchede over var at der var så mange som ikke havde patchet deres SQL server.

igen: win (SQL/IIS) admins tag jer sammen!
Gravatar #13 - FISKER_Q
26. jan. 2003 00:55
Man skal også huske på at selv al den flooding på serveren også kan få den til at gå ned.
Gravatar #14 - Torcia
26. jan. 2003 00:59
Er der andre end mig, der har undret sig over, hvor lidt dækning der har været af denne orm? Det må være på grund af weekenden, at det sædvanlige hysteri er udsat. Det var dog rart nok, at Newz.dks læsere var så opdaterede, at nyheden/forklaringen kunne findes i disse fora :)

/Torcia
Gravatar #15 - FISKER_Q
26. jan. 2003 01:05
nyheden er både på yahoo, slashdot, og såmænd omtrent hvert eneste community site. Men det blev jo også iværksat om natten i usa så vidt jeg husker.
Gravatar #16 - Gruesome
26. jan. 2003 01:07
Min far fortalte oxo om det havde været i radioen og TV2. Og en af mine kammerater vidste det oxo. Uden at de nogen sinde læser nyheder på nettet.
Så der må ha' været dækning af det.
Gravatar #17 - dnv
26. jan. 2003 01:17
i kan læse mere her:
<STRONG>MS SQL Worm Roundup</STRONG>
http://www.net-security.org/article.php?id=369
Masser links og tekst om det..
Gravatar #18 - Torcia
26. jan. 2003 01:19
Ja, så beklager jeg at jeg har lagt ud med to overflødige posts. Jeg ser ikke tv. Men jeg har trawlet de danske netaviser, NY times og computerworld igennem uden at finde noget. (Jeg har set dækningen på slashdot). Som sagt beklager at jeg tog fejl:)

/Torcia
Gravatar #19 - Gruesome
26. jan. 2003 01:34
#18
Hvis vi skulle tælle alle mine useless posts fra, ville jeg nok ca være på samme post-count som dig ;)

Man må sige det er skræmmende at der har været så mange upatchede servere, men sådan er det vel bare :rolleyes:
Gravatar #20 - Lester
26. jan. 2003 01:45

Cybercity supportmail udsendt idag...
Der er i øjeblikket en orm (dvs. en slags virus) i omløb,
der angriber MS-SQL servere.

Denne orm generer massiv trafik, derfor vil store dele af
Internettet have nedsat fremkommelighed, og specielt Internettets
navneservere er hårdt ramt.

For at beskytte vores kunder har Cybercity kl. 10:50 lukket
for trafik til denne service i vores netværk. Denne lukning
er midlertidig, og vil blive fjernet når vores kunder har
haft en chance for at beskytte sig mod denne orm. Der udsendes
ny udmeldning mandag kl. 09:00.

Cybercity anbefaler at trafik til port 1433+1434 (både TCP
og UDP) blokeres.
Ydermere bør MS-SQL servere opgraderes med: http://www.microsoft.com/technet/treeview/default....
urity/bulletin/MS02-039.asp
og/eller Microsoft SQL Server 2000 Service Pack 3
Med venlig hilsen
Cybercity
--
Automatisk mail fra CC-LIST: http://list.cybercity.dk/
Gravatar #21 - donnib
26. jan. 2003 04:52
#20

hmm..sjovt.. sådan en mail har ikk fået...
Gravatar #22 - Xanthia
26. jan. 2003 05:08
sYnss at M$ skull e se at få deres gejl fixet, Så jeg ikkke er nød til at sidde her ogg skrive når jeg er kommet hjem fra Byyen og ska tilat sove. røvhuller

[edit]

Nutidens mangfoldige og vidtomfattende kommunikationsmidler giver dagens unge en utrolig mulighed for at ytre sine holdninger i løbet af kort tid blablabla

BAAAAAAAAAAAAAAH!!!!
Gravatar #23 - funkymonkey
26. jan. 2003 07:28
#22
Et godt råd, skriv ikke kommentarer når du (tilsyneladdende) er fuld, det får dig til at virke dummere.
Gravatar #24 - dnv
26. jan. 2003 08:51
Sslug.dk fik også lidt problemer med den:
"Der er problemer med netværksforbindelsen til www.sslug.dk her til morgen. Opdatering 16:12: Årsagen til problemerne er en ny orm der angriber Microsoft SQL servere. Der er rapporter om udbredte netværks-problemer over store dele af Internet siden tidligt i morges. Det anbefales at blokere trafik til eller fra UDP port 1433 og 1434.(storner)"
Gravatar #25 - KozmoNaut
26. jan. 2003 09:08
Synes det lugter lidt af uansvarlige sysadmins at de specifikt lukker for port 1433 og 1434. Så vidt jeg ved er det porte til MSSQL (eller noget i den stil), og den slags ting plejer stort set aldrig at være åbne ud imod internettet.

Hele ideen med en firewall er jo at man lukker for alt, og så kun åbner de porte der er brug for. Selvfølgelig kan der være folk der har brug for at deres database er åben imod nettet, men det er da langt de færreste.

Intet system er sikkert, hvis ikke systemadministratoren kan finde ud af at sikre det. Det er jo bare sådan er der beklageligvis er alt for mange MSCE'r der bliver sat til at være sysadmins.
Gravatar #26 - FISKER_Q
26. jan. 2003 09:23
hvorfor er det beklageligt? Fordi en person har MSCE så er han en dårlig administrator?
Gravatar #27 - SilverWolf
26. jan. 2003 09:31
Noget tyder på at 5 af de 13 root servere kører Windows Server operativ system :)... Endnu en grund til ikke at kører Windows Server...
Gravatar #28 - FISKER_Q
26. jan. 2003 09:46
hvem siger de blev nedlagt pga den ms sql server fejl?
Gravatar #29 - drzero
26. jan. 2003 09:57
#27 og #28:

Grunden til at de 5 root nameservere ikke var tilgængelige var ikke fordi at de var ramt af angrebet, men den worm sender UDP pakker afsted til så mange IP'ere som muligt når den har nuppet en server og bruger dermed maximum båndbredde. Det der var årsagen til at root nameserverne var utilgængelige var at backbone routere var overbelastet. Mange af dem stod på 100% CPU belastning!

Jeg er ret overbevist om at alle 13 root nameservere kører Unix og altid har kørt Unix :)

Læs lidt mere her:
http://forums.military.com/1/OpenTopic?a=tpc&s...
Gravatar #30 - FISKER_Q
26. jan. 2003 10:00
#29 har jeg jo allerede skrevet for noget á la 10 indlæg siden.(edit: skrev jeg faktisk i en anden nyhed :P) Jeg kender en der havde noget lignende 30-40 af de requests i sin routerlog og det var bare en helt normal privatperson :D
det var et dos som startede et ddos :D
Gravatar #31 - NFX
26. jan. 2003 11:06
.. Og så vil jeg da liige tilføje til #30 at de 45 requests kom over en periode på 4½ time, så det er ikke noget der har fået mig af nettet - men min IP er nok heller ikke så udbredt tilgængelig som Root DNS serverne :)
Gravatar #32 - hagendas
26. jan. 2003 11:26
Hvor kan man læse mere om de 13 rootservere??
Det er da lidt spændene at få lidt indblik i nettets "geografi"...
Gravatar #33 - Acro
26. jan. 2003 12:35
#25:Nu er det jo sådan at mange udbydere giver deres kunder adgang til at administrere deres database vha. værktøjer som Enterprise Manager. Dette kan naturligvis ikke foregå hvis alle portene til MS SQL serveren er lukket. Det er rigtigt at der ikke er mange der skal bruge databasen fra en anden online server, men fra deres egen maskine er nu altid rart.

Selvfølgelig kan man så tale for at de bare kan bruge SQL-kommandoer de kan eksekvere på serveren via scripts. Det kan de også - men hvorfor gøre det, når man kan få det meget nemmere. Desuden er der sikkert mange der ikke har kompetence til at oprette tabeller, visninger og lign. i SQL.
Gravatar #34 - KozmoNaut
26. jan. 2003 13:15
#26

Generelt er MSCE'r ikke kvalificerede nok til det arbejde de har. Selvfølgelig findes der både gode og dårlige, men jeg ern vis fornemmelse af at der er flest dårlige.


#33

Rigtig, den havde jeg ikke lige tænkt på. Men jeg tror nu alligevel der var en del flere der blev ramt, end bare dem der bruger ting som Enterprise Manager.
Gravatar #35 - GandalfTheWhite
26. jan. 2003 13:21
Så slår vi lige fast en gang for alle, at det hedder en MCSE - <STRONG>M</STRONG>icrosoft <STRONG>C</STRONG>ertified <STRONG>S</STRONG>ystems <STRONG>E</STRONG>ngineer.
Gravatar #36 - west
26. jan. 2003 13:25
...Minesweeper Consultant, Solitaire Expert?

:)
Gravatar #37 - Nize
26. jan. 2003 13:49
Whee, ligeledes masser af forespørsler til cmd.exe i min log :)

Altid interessant med lidt besøgende ;)
Gravatar #38 - FISKER_Q
26. jan. 2003 14:09
Vi har da aldrig sagt at MSCE ikke stod for det?
Gravatar #39 - Mr.Weasel
26. jan. 2003 17:20
Det er da rart at se det ikke er Microsofts fejl denne gang. Rimelig pinligt ikke at have patchet sin MSSQL. Især når man har haft et halvt år til det.

Er der andre end mig der under sig over teksten: "de tilbød en gratis patch" ... Man skulle da også være et mere end alm. dumt svin hvis man tog penge for at rette sine egne fejl. Mit spørgsmål er nu: "Tager Microsoft penge for patches der retter mindre alvorlige fejl ?"
Gravatar #40 - FISKER_Q
26. jan. 2003 17:33
nej.
Gravatar #41 - Gnuster
26. jan. 2003 18:05
fra en artikel på politiken.dk

"Sydkoreas regerings kommunikationsministerium opfordrer alle virksomheder og borgere til hurtigst muligt at opdatere operativsystemerne Windows NT, Windows 2000 og Windows XP. Eksperter vurderer, at skaberne af den nye virus må have haft kendskab til svagheder i disse operativsystemer for at kunne gennemføre angrebet. "

tror de virkeligt?
Gravatar #42 - Yasw
26. jan. 2003 22:32
hmm, havde sgu ikke regnet med at man kørte Windows på de rootservere.
Gravatar #43 - sKIDROw
26. jan. 2003 23:01
Endnu en gang er der en flok clueless admins, der giver MS et ufortjent dårligt ry.
Det er pinligt!
Som det blev nævnt tidligere, har der også eksisteret orme som denne på Apache platformen.
Så jeg vil kun notere mig for al retfærdigheds skyld, at Microsoft gjorde deres arbejde.
Men det kan man så ikke sige om diverse håbløse admins.. ;o/

(Og det er herligt at se, at en tråd som denne ikke har nået at udvikle sig til mudderkast)
Gravatar #44 - grav
26. jan. 2003 23:13
#33:
De fleste administrationsinterfaces bør være webbaserede.
Derved slipper du for at have andet end web-adgang til selve netværket, og de er nemme at portere til andre platforme. Slut med terminaler og tunge klientprogrammer.
Ved administration af MySQL bruges phpMyAdmin virkelig ofte. Her køres systemet via PHP på det lan-netværk, som MySQL-serveren står på, hvorved du kan begrænse database-adgang til lokalnetværket.
Gravatar #45 - 0verRide
27. jan. 2003 10:58
Ehm 5 af 13 root server.

De 13 server køre bare ikke windows.

100 % sikkert det køre på en linuxbox.
efter sidste gang er der blevet lavet om på en del der 2 af dem har været rykket hele 2 gange.

hvis man læser så står der fatisk ikke meget om de 13 nameserver.


-OR-
Gravatar #46 - TYBO
27. jan. 2003 21:27
Nu vi snakker om opdatere....min søn på 17 månder sad ved min kones PC og legede med hendes tastatur og mus.
Da jeg kom forbi lidt senere var han gået ind på windows update og var ved at opdatere hendes windows....måske han kan overtage sysadm. jobsne hos de firmaer :)
Gravatar #47 - oc
28. jan. 2003 02:42
5 ud af 13 root dns servere jeg synes sq hele tiden de får tæsk var det ikke på tide at EU sponsorere nogle flere af dem så
A flertallet ikke er i USA

B internettet ikke har så stor chance for at blive nakket af en eller anden skod orm
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login