通 告
2003年1月25日,Slammer蠕虫曾经造成世界范围内的网络瘫痪,各地网络管理员在网关处 的访问控制措施迅速控制了蠕虫的传播和破坏,但是被感染的SQL Server服务器和有漏 洞的计算机系统仍然大量存在,构成了对网络安全极大的隐患。 近期,由于许多网络管理员取消了路由器上的控制措施,导致大量Slammert蠕虫死灰复燃, 再次对网络造成一定的影响和破坏。从近期的检测结果来看,Slammer蠕虫感染的计算机 仍然大量存在,因此建议网络管理员不要放松警惕,一则不要取消网关上的控制措施, 二要彻底检查管理范围内的主机,并为SQL Server 安装系统补丁。 附:Slammer 蠕虫信息 slammer是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的一 种蠕虫。该蠕利用MS-SQL的一个漏洞进行传播。由于蠕虫发送大量的udp包,因此会造成网络Dos攻击。 影响版本: SQL Server 2000 RTM SQL Server 2000 SP1 SQL Server 2000 SP2 Microsoft SQL Desktop Engine Version (MSDE) 2000 详细信息: 蠕虫感染一台有漏洞的主机过程如下: 1.将自身封装在一个376字节的udp数据包中发送到网络上任意地址主机的udp 1434端口 2.如果主机的SQL 服务器解析服务(SQL Server Resolution Service)开放并没有安 装相应的补丁,蠕虫将利用漏洞覆盖一部分系统内存,以此获得 SQL 服务进程所拥有的安全权限。 3.调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地 4.在受害主机上建立一个socket,使用一个临时的端口发送封装有蠕虫的udp包到刚才产生 的那些地址中,只要这些地址中存在具有该漏洞的主机均能感染 蠕虫具有以下特征: 1.使用udp协议传播,传播速度快,传播面积广 2.蠕虫感染系统后,只驻留内存不在硬盘上写任何文件 3.由于发送大量的udp包会产生巨大的网络流量,造成Dos攻击 检测和控制方法: 网络检测方法: symantec提供了如下的网络检测规则 alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;) 本地检测方法: 微软提供了专门的检测工具,你可以在我们的网站上下载到相关的工具: 检测工具 使用里面的sqlscan你可以扫描出网络上易受slammer感染的主机来。软件内附有详细的使用说明。 网络控制方法: 你可以在边界路由器上添加以下规则: access-list 110 deny udp any any eq 1434 本地控制方法: 为有MS-SQL的机器安装最新的补丁 使用单机防火墙屏蔽udp1434端口 解决方法: 请先确定您的MS-SQL安装了最新补丁,如果没有请尽快安装补丁。如果不及时安装补丁, 即便是你有效的清除了该蠕虫也会很快被重新感染。
请校园网用户立即关闭SQL_SERVER_2000,下载并安装SQL_SERVER 2000补丁,然后重启机器。 相关的补丁你可以在我们的网站上下载:
中文补丁:
CHS_SQL2KDeskSP3.exe
chs_sql2kasp3.exe
chs_sql2ksp3.exe
Microsoft SQL Server 2000 Service Pack 4
英文补丁:
Q323875_SQL2000_SP2_en.exe
如果确定你的机器已经被感染了slammer蠕虫,请按以下方法操作: 1.暂时将本地的MS-SQL服务设为禁用,重新启动机器 2.下载相关的补丁到本地并安装 3.重新启用本地的MS-SQL服务