|
| 您当前的位置: 首页 > CERNET > CERNET动态 > 最新播报 |
|
CCERT关于防范W32.slammer.Worm 蠕虫公告
|
||||
|
2003 年8月19日
|
||||
| slammer是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的一种蠕虫。该蠕利用MS-SQL的一个漏洞进行传播。(MS-SQL的漏洞信息请参见sql漏洞)由于蠕虫发送大量的udp包,因此会造成网络Dos攻击。 影响版本: SQL Server 2000 RTM SQL Server 2000 SP1 SQL Server 2000 SP2 Microsoft SQL Desktop Engine Version (MSDE) 2000 详细信息: 蠕虫感染一台有漏洞的主机过程如下: 1.将自身封装在一个376字节的udp数据包中发送到网络上任意地址主机的udp 1434端口 2.如果主机的SQL 服务器解析服务(SQL Server Resolution Service)开放并没有安装相应的补丁,蠕虫将利用漏洞覆盖一部分系统内存,以此获得SQL 服务进程所拥有的安全权限。 3.调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地4.在受害主机上建立一个socket,使用一个临时的端口发送封装有蠕虫的udp包到刚才产生的那些地址中,只要这些地址中存在具有该漏洞的主机均能感染. 蠕虫具有以下特征: 1.使用udp协议传播,传播速度快,传播面积广 2.蠕虫感染系统后,只驻留内存不在硬盘上写任何文件 3.由于发送大量的udp包会产生巨大的网络流量,造成Dos攻击 网络检测方法: symantec提供了如下的网络检测规则 alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;) 本地检测方法: 微软提供了专门的检测工具,你可以在我们的网站上下载到相关的工具: 检测工具 你可以在边界路由器上添加以下规则: 为有MS-SQL的机器安装最新的补丁 请先确定您的MS-SQL安装了最新补丁,如果没有请尽快安装补丁。如果不及时安装补丁,即便是你有效的清除了该蠕虫也会很快被重新感染。相关的补丁你可以在我们的网站上下载:chs_sql2ksp3 |
||||
|
|
||||
|
|
||||
| 相关文章: | |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|||
|
Copyright(c)
1994-2020 CERNIC,CERNET
京ICP备15006448号-16 京网文[2017]10376-1180号
关于假冒中国教育网的声明 | 版权所有:中国教育和科研计算机网网络中心 |
|||