网络安全
2008-05-23 15:47    文章来源:网界网

SQL蠕虫病毒解决方法

作者:freehaibo

      经确认,此次发作的蠕虫病毒为2003蠕虫王,是继去年大规模爆发的“红色代码”病毒以后,又一个基于网络数据包攻击的病毒,此病毒攻击微软Windows*作系统下的SQL Server 2000服务器。
      一病毒攻击原理
      这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了Microsoft SQL Server 2000服务远程堆栈缓冲区溢出漏洞,SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,恶意黑客利用此漏洞可以在远程机器上执行自己准备好的恶意代码。
病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server服务器的1434端口,利用SQL Server漏洞执行病毒代码,根据系统函数GetTickCount产生种子计算伪IP地址,向外部循环发送同样的数据包,造成网络数据拥塞,同时本机CPU资源99%被占用,本机将拒绝服务。

二受影响系统包括安装了:
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
Microsoft Windows NT 4.0 SP6a
Microsoft Windows NT 4.0 SP6
Microsoft Windows NT 4.0 SP5
Microsoft Windows NT 4.0
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1。

三通用解决方案:
1.在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问;
根据Cisco的安全公告,可以使用下列命令来完成对UDP/1434端口的阻塞的*作:
1)对交换机(以6500系列为例):
配置:
set security acl ip WORM deny udp any eq 1434 any
set security acl ip WORM deny udp any any eq 1434
set security acl ip WORM permit any
commit security acl WORM
set security acl map WORM <vlan>
设置端口为vlan based:
set port qos <mod/port> vlan-based
验证:
show security acl info all
删除:
clear security acl WORM
commit security acl WORM
2)对路由器:
配置:
access-list 115 deny udp any any eq 1434
access-list 115 permit ip any any
int <interface>
ip access-group 115 in
ip access-group 115 out
2.找到被感染的主机
在边界路由器(或者防火墙)上进行检查,也可启动网络监视程序(譬如Sniffer Pro)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,这些主机极为可能感染了该蠕虫。如果不能确定,则认为所有运行Microsoft SQL Server 2000 而没有安装补丁程序的机器都是被感染的机器。可以使用端口扫描程序(譬如Nmap)对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描并不准确,可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是,只有SQL Server 2000才会受到此蠕虫的感染。
3.拔掉被感染主机的网线。
4.重新启动所有被感染机器,以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。
5.插上被感染机器的网线
6.为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack:
建议安装Microsoft SQL Server 2000 SP3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp
或者至少应该下载针对该漏洞的热修复补丁:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
安装此补丁必须先安装Microsoft SQL Server 2000 SP2
http://www.microsoft.com/sql/downloads/2000/sp2.asp
注意:如果由于某种原因无法从网络下载补丁进行安装,因此可以在其他未被感染的主机上下载补丁,刻录在光盘或者保存在其他移动介质上,然后再到被感染的主机上进行安装。

四如果由于某种原因不能及时安装补丁,可暂时使用系统上的TCP-IP筛选来阻塞对本机UDP/1434端口的访问,但我们并不推荐这样做。注意!使用TCP-IP筛选阻塞UDP可能导致某些网络应用异常。
TCP-IP筛选*作步骤:
打开“控制面板”-->“网络和拨号连接”,找到需要设置TCP-IP筛选的网卡,单击右键,选“属性”,拖动滚动条,找到“Internet 协议(TCP/IP)”,在上面双击鼠标,在新出现的窗口中点击“高级”,在“选项”页中找到“TCP/IP筛选”,打开之后点选“启用 TCP/IP筛选”并找到UDP这一栏,选择“只允许”,然后就可以添加需要使用的UDP端口,凡是不在这个端口范围内的UDP数据都会被阻塞,如果不添加则阻塞所有UDP端口。

五某些内部大量感染该蠕虫的网络在路由器或者边界防火墙上设置阻塞UDP/1434端口的规则后会导致网络设备CPU资源占用剧增的现象,在这种情况下,可先拔掉被感染机器的网线,再设定网络设备的过滤规则,待内部所有系统都重新启动并安装补丁之后再插上网线。

文章来源:社区动力

责任编辑:袁源

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题