|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Ataque al puerto 1433 delata nuevo gusano de SQL | ||
|---|---|---|
VSantivirus No. 684 - Año 6 - Miércoles 22 de mayo de 2002 Ataque al puerto 1433 delata nuevo gusano de SQL http://www.vsantivirus.com/22-05-02.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Una actividad excesivamente alta en el puerto 1433, fue la primera alarma. Este puerto es usado por defecto en los servidores SQL de Microsoft. SQL Server es un sistema de bases de datos relacionadas, muy popular en el desarrollo de sitios Web, y con casi un 70% del mercado, según Microsoft. En este caso, el aumento de solicitudes al puerto 1433, dejaron al descubierto un nuevo gusano que se está propagando bastante rápido a través de los servidores vulnerables. Ya en noviembre de 2001, la aparición de un gusano para el SQL (W32/Cblade.Worm), ponía en el tapete lo fácil que es aprovecharse de una falla largamente conocida (mayo de 2001), simplemente porque los administradores de los sistemas, no mantienen una política mínima de seguridad. Los servidores SQL de Microsoft, poseen un modo mixto de autentificación habilitado por defecto, lo que incluye una cuenta SA (administrador del sistema) con la contraseña en blanco al instalarse (al menos que se la cambie, cosa que es muy poco común hacer). Esto, pone al alcance de cualquier atacante el procedimiento en ActiveX, XP_CMDSHELL para acceder al modo comando del DOS. A partir de allí es fácil deducir la cantidad de acciones que podrían realizarse, con la ejecución de cualquier clase de código incluida. Microsoft SQL Server proporciona la habilidad de llamar funciones dentro de DLLs fuera del banco de datos. Estas funciones, llamadas procedimientos extendidos, aumentan la funcionalidad del servidor, pudiéndose usar para acceder al sistema operativo o a la red. A esos procedimientos pertenece XP_CMDSHELL. Este nuevo gusano, escrito en JavaScript, y llamado SQLSpida (versiones A y B), o SQLsnake, se aprovecha también de la falta de contraseña por defecto, y además de otras acciones, envía información (direcciones IP, contraseñas del sistema, etc.), a la dirección de correo ixltd@postone.com. Esta casilla está hoy totalmente saturada por el intenso tráfico. Las recomendaciones básicas son: 1. Bloquear el puerto 1433 con un cortafuegos (a través de ese puerto el gusano busca nuevas máquinas para infectar). 2. Actualizar con los parches de Microsoft para SQL Server, disponibles desde hace tiempo (ver Referencias). 3. Bloquear el correo a la dirección ixltd@postone.com. 4. Si se tiene acceso directo a la computadora del servidor, buscar la presencia de archivos como "services.exe" en "System32\drivers" y borrarlo para detener la propagación. El archivo está marcado como oculto (reiniciar después de borrar el archivo). Otros archivos instalados por el gusano:
5. Verificar o cambiar las contraseñas de todas las cuentas SA (administrador del sistema), de todos los servidores SQL. |
||
