|
Hi! Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung: ""SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit für massives Traffic-Aufkommen. Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann. SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde. Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schädling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic. Toralv Dirro vom Antiviren-Unternehmen Network Associates sieht den Schädling als einen der gefährlichsten Würmer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeinträchtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhöhten Traffic ausgefallen." Wegen der schnellen Verbreitung können AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schädling sich ursprünglich ausbreitete. Network Associates will in Kürze ein Stand-Alone-Tool zur Verfügung stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend überprüfen, ob der oben erwähnte Patch aus dem Microsoft Security Bulletin MS02-39 eingespielt ist. (pab/c't)"" Link: http://www.heise.de/newsticker/data/pab-25.01.03-000/ Gruß! MyThinkTank (heise.de macht schlau ;) ) |
Tja, da bin mal von AVK gespannt, ob es die versprochenen "Emergency Updates" geben wird. |
Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet. Meine Frage ist jetzt, was ich bei meiner TinyPersonalFirewall 2 unter "remote Endpoint" auswählen muss? Address Type: - any address - single address - Network/Mask - Network/Range - Custom Address Group Port Type: - Single Port - Any Port - Prot/Range - List of ports Was ist da nun richtig? ciao, Cyber [ 26. Januar 2003, 11:37: Beitrag editiert von: CyberFred ] |
Hi, </font><blockquote>Zitat:</font><hr /> Block incoming UDP 1434 at your firewall. </font>[/QUOTE]Über welchen Port er vom infizierten System kommuniziert weiß ich nicht. Da sind aber über den "well known Ports" (0 - 1023) eine ganze Reihe möglich. Und IP's einzutragen ist sinnlos, klar...oder? Also Any bei beiden. Diese Regel sollte reichen s.u.. Wenn es Dir dann besser geht. ;) Denn nur die ungepatchten M$-Server sollten imo betroffen sein. </font><blockquote>Zitat:</font><hr />SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. </font>[/QUOTE]http://mitglied.lycos.de/piet74/tinyrule.jpg piet |
Ihr habt aber schon gelesen, dass herkömmliche Systeme nicht betroffen sind, oder? |
@ IRON: Ist ein IIS-Worm, daher nicht für herkömmliche maschinen! gleich wie code-red! grüsse, Mario |
</font><blockquote>Zitat:</font><hr />Original erstellt von snooby: Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!</font>[/QUOTE]und ich dachte es sei ein M$-sql-server wurm... :D .cruz |
</font><blockquote>Zitat:</font><hr /> Tja, da bin mal von AVK gespannt, ob es die versprochenen "Emergency Updates" geben wird. </font>[/QUOTE]Wird es nicht geben, weil der Wurm nur im Arbeitsspeicher existiert und nicht auf einem Datenträger. Somit ist ein "normaler" AV-Scanner machtlos. Ein Reboot dagegen reinigt das System. ;) </font><blockquote>Zitat:</font><hr /> Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet. </font>[/QUOTE]Eine solche Regel ist ziemlich sinnlos, wenn man keinen SQL-Server laufen hat. In dem Fall kann dir doch sowieso nix passieren - ob mit oder ohne Firewall. [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von snooby: @ IRON: Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!gleich wie code-red!</font>[/QUOTE]snooby, snooby...LIES DOCH BITTE MAL MEINE FRAGE. Und schlag mal im Duden unter Rhetorisch nach. [img]graemlins/aplaus.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung...</font>[/QUOTE]Oooch, die gabs gestern um die Zeit auch schon :D </font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet.</font>[/QUOTE]Welchen mySQL-Server hast Du denn laufen? :D ;) Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!! |
</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT: Welchen mySQL-Server hast Du denn laufen? Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!</font>[/QUOTE]Wenn ich dir jetzt noch sage, dass ich sogar angefangen habe mir das SP3 dafür zu ziehen... [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] ciao, Cyber :D [img]graemlins/aplaus.gif[/img] :cool: [img]graemlins/heilig.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT: Welchen mySQL-Server hast Du denn laufen? :D ;) Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!</font>[/QUOTE]Nope. Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid. ;) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@beastie: mySQL != Microsoft MS SQL == Microsoft |
</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie: Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid. ;) </font>[/QUOTE]Und nicht wirklich überraschend, oder? ;) :D Gruß, Cassandra |
@Cassandra Nicht wirklich! :D Der/die/das - > The Patch gegen die Sicherheitslücke existiert allerdings schon länger, Admins wurden gebeten, dieses 'immediately' zu installieren. Wenn Otto-Normal-User sich nicht um Sicherheitspatches von Microsoft kümmert, kann ich das irgendwie noch verstehen. Aber Leute, die einen Server betreiben, sollten sicherheitsrelevante Patches wirklich ernst nehmen. Von daher gebe ich MS diesmal nur 30% der Schuld an diesem Schlamassel. Inwieweit haften Admins einklich bei ungepatchten Systemen? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
bleibt nur die andere frage: wieso wird überhaupt was von m$ auf nem server installiert ? :D |
Das ist eine gute Frage. :D Man nehme Linux+Apache+MySQL+PHP fertig :D |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kistbier: bleibt nur die andere frage: wieso wird überhaupt was von m$ auf nem server installiert ? :D </font>[/QUOTE]Von daher haben Vorfälle wie mit diesem Wurm, möglicher Weise durchaus den Vorteil, dass vielleicht der ein oder andere der Betroffenen genau über diese Frage nachdenkt... [img]graemlins/teufel3.gif[/img] Gorgo |
@Lucky: Auch bei der Kombination wird der Admin nicht umhin kommen, sich um die Sicherheit seines Systems zu kümmern, hin- und wieder Patches/Updates aufzuspielen und aufnahmefähig für neuentdeckte Bugs zu bleiben. ;) Die Verantwortung hängt nicht vom eingesetzten System ab. Die Frage ist, ob ein LAMP-Admin von sich aus verantwortungssbewußter ist als ein Microsoft-Admin (IIS + MS-SQL). Das kann so sein, muß aber nicht. [img]smile.gif[/img] Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Original erstellt von Gorgo: Von daher haben Vorfälle wie mit diesem Wurm, möglicher Weise durchaus den Vorteil, dass vielleicht der ein oder andere der Betroffenen genau über diese Frage nachdenkt... [img]graemlins/teufel3.gif[/img] Gorgo</font>[/QUOTE]Ehrlich gesagt ich glaube da nicht dran. Einer Firma, kostet das ja Geld der Umstieg bzw. der vorher gekaufte MS SQL etc. Ich glaube eher die machen endlich mal den Patch drauf und gut ist. Wenn die das überhaupt merken. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie: Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid.</font>[/QUOTE]Allerdings - ein dämlicher (!) Tippfehler, muss ich zugeben. [img]graemlins/headbang.gif[/img] </font><blockquote>Zitat:</font><hr />Original erstellt von Kistbier: mySQL != Microsoft MS SQL == Microsoft</font>[/QUOTE]Da bringt der mich wieder durcheinander. :D |
@besatie: ganz einfach: MS SQL kommt von den knallern aus redmond MySQL kommt aus schweden und dann gibt es ja noch mSQL von hughes technology aus australien ach ja, es gibt ja auch noch oracle, sap db, dbase, berkley dbm, frontbase, filepro, informix, sybase, ingres, interbase, ovrimos, postgre sql und sesam :D immer noch verwirrt ? *g* |
</font><blockquote>Zitat:</font><hr />Original erstellt von [TB]Lucky: Ich glaube eher die machen endlich mal den Patch drauf und gut ist. Wenn die das überhaupt merken.</font>[/QUOTE]Eigentlich müssten sie es am Traffic merken. Und wenn sich das Verhalten insofern ändert, dass künftige Patches gleich eingespielt werden, dann wäre doch was erreicht. ;) Gorgo |
</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie: Wenn Otto-Normal-User sich nicht um Sicherheitspatches von Microsoft kümmert, kann ich das irgendwie noch verstehen. Aber Leute, die einen Server betreiben, sollten sicherheitsrelevante Patches wirklich ernst nehmen. Von daher gebe ich MS diesmal nur 30% der Schuld an diesem Schlamassel.</font>[/QUOTE]Liegt vielleicht daran das nach der Installation eines Patches ein reboot des Systems notwendig ist, bei Windows. Was im Serverbetrieb ja nicht unbedingt so mir nichts dir nichts zu verwirklichen ist als bei ottonormal Verbraucher. Dies sollte eigentlich auch ein Grund dafür sein mehr auf Unix basierende Systeme zu bauen. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Sheap: Was im Serverbetrieb ja nicht unbedingt so mir nichts dir nichts zu verwirklichen ist als bei ottonormal Verbraucher.</font>[/QUOTE]Wieso denn? Im Serverbetrieb hat man doch (hoffentlich) ein Notfallkonzept, das den Ausfall(reboot) eines Rechners abfängt. Wie lange läuft denn überhaupt ein M$-Server ohne reboot durch? IMHO liegt dieses "verantwortungslose" Verhalten eher an: "Never touch a running system." zu 1434: Ich habe auf meinem XPHome eine PFW und lass bis auf die DNS-Abfragen alles mitprokollieren. Grund: Futter für meine Proxomitron-Blockfiles. Nu' hab ich mal UDP(In) Port 1434 zählen lassen: 22.11.02 bis 24.01.03: 0 25.01.03: 6 26.01.03: 11 von einer IP sogar zweimal mit demselben Port im Abstand von 20Stunden . Kann man da was reininterpretiern? Else -Statistikfreak- [ 26. Januar 2003, 23:09: Beitrag editiert von: Else ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Else: ]Wieso denn? Im Serverbetrieb hat man doch (hoffentlich) ein Notfallkonzept, das den Ausfall(reboot) eines Rechners abfängt. IMHO liegt dieses "verantwortungslose" Verhalten eher an: "Never touch a running system."</font>[/QUOTE]Nö, es liegt wohl ehr mehr daran das man nach einem Update von Microsoft Windows gleich das ganze System rebooten muss im Gegensatz zu einem Unix basierenden Systemen, bei dem man nur den betreffenden Dienst rebootet, was wesentlich schneller zu bewerkstelligen ist als bei einem ganzen System. Ein Notfallplan ist natürlich auch von jeweiligen Serverbetreiber und dessen Admin abhängig, nicht jeder hat immense Rücklagen in petto. Was dann den ein oder anderen dazu veranlasst heterogene Notfallpläne aufzustellen. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Else: Kann man da was reininterpretiern?</font>[/QUOTE]Klar: Ein Anstieg der protokollierten Pakete auf diesem Port innerhalb von zwei Tagen um 183%, macht pro Tag durchschnittlich 91,5%. [img]graemlins/lach.gif[/img] |
Gerade per E-Mail bekommen: Microsoft hat ein neues Security Bulletin zum Thema rausgebracht (MS02-061). </font><blockquote>Zitat:</font><hr />As a cumulative patch it includes a fix for a vulnerability first included in Microsoft Security Bulletin MS02- 039, which has been exploited as part of the "Slammer" worm. Customers who have not installed a recent SQL Server security patch (MS02-039, MS02-043, MS02-056 or MS02-061) are strongly encouraged to install this updated patch, which now includes an installer for ease of use.</font>[/QUOTE]Hab die Mail allerdings 13 Mal (!) bekommen. Komisch. Ist das noch jemandem passiert? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Original erstellt von Kistbier: MS SQL kommt von den knallern aus redmond MySQL kommt aus schweden immer noch verwirrt ? *g*</font>[/QUOTE]Ja! Weil Du mir weismachen willst, dass mySQL und MS SQL von Mikroweich gespült sind... ;) </font><blockquote>Zitat:</font><hr />Original erstellt von Kistbier: mySQL != Microsoft MS SQL == Microsoft</font>[/QUOTE]Oder haben != und == irgendwas zu bedeuten außer =??? [ 27. Januar 2003, 01:47: Beitrag editiert von: BEASTIEPENDENT ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT: Oder haben != und == irgendwas zu bedeuten außer =???</font>[/QUOTE]ja, das ist programmier-sprech. == bedeutet "ist gleich" != bedeutet "ist nicht gleich" .cruz [ 27. Januar 2003, 06:22: Beitrag editiert von: cruz ] |
@IRON Vielen Dank für Deine Mitarbeit. Die absoluten Zahlen waren ja harmlos, aber relativ gesehen ist es wirklich erschreckend... Offensichtlich hat SQLSlammer auf meinem XPHome eine Variante des "Leipzscher Virus" generiert, die mir nun via PFW die Festpladde vollmüllt... Am Sonntag werde ich daher eine neue PFW-Regel erstellen: Logging deaktiviert, "Popup" aktiviert mit Meldungstext: "sqlSLAMMER ATTACKE erfolgreich abgewehrt!!!" Vielleicht kann man doch Geld mit dem Wurm verdienen, weil: Er infiziert Rechner, auf denen ein monatealtes Patch nicht eingespielt wurde. Er versendet sich weiter mit einem bestimmten Zielport. Er verrät die IP-Adresse des infizierten Rechners. Über "Wohis" erfährt man wem der Rechner gehört. Diese Infos könnten doch für eine gezielte Mailing- oder Telefonaktion eingesetzt werden: "Wir unterstützen Sie bei der Wartung...", "Wir beraten Sie... " Der IT-Branche geht's doch momentan nicht so gut... MfG Else -MarketingResearchAspirant- P.S: Ein Kandidat sitzt in Redmond... "Auch Microsoft selbst war von SQLSlammer betroffen: Wie aus Firmenkreisen bekannt wurde, waren die öffentlich erreichbaren SQL-Server zwar auf dem neuesten Stand und mit allen Patches versehen, jedoch nicht das interne Netzwerk." http://www.heise-online.de/newsticke...-27.01.03-000/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board