» »

DDoS preko MS SQL 2000 & nedosegljivost slo-tech.com

DDoS preko MS SQL 2000 & nedosegljivost slo-tech.com

moj.net - Verjetno ste vsi že opazili, da je bil Slo-Tech danes nedosegljiv. Neposredni vzrok je bil preobremenjen usmerjevalnik na Moj.Net, posredni pa ZlobniKod™ za Microsoftov SQL Server 2000. ZlobniBojzi™, avtorji ZlobniKod™-a so očitno spisali exploit, ki preko luknje, objavljene junija 2002 (uporabniki BedneKode™ kliknite tukaj za opis napake in popravek) iz MSSQL 2000 naredi DDoS agenta. Moj.Net je začasno izključil vse okužene strežnike z SQL Server 2000, tako da omrežje zopet deluje normalno.

47 komentarjev

darh ::

zakaj pa moj.net uporablja BednoKodoTM? 8-)
Excuses are useless! Results are priceless!

Tr0n ::

Dejansko je danes imelo kar veliko ISPjev pri nas in po svetu tezave.

"SiOL je imel danes od 7:00 ure dalje težave s stabilnostjo omrežja, zato je bilo moteno delovanje internetnih storitev. Razlog za nastale težave je bila okužba strežnikov, ki temeljijo na Microsoftovi SQL tehnologiji. Okužbe s črvom nismo mogli preprečiti. Za morebitne nevšečnosti se vam iskreno opravičujemo in prosimo za razumevanje."

darh ::

Excuses are useless! Results are priceless!

b ::

Moj.Net ne uporablja BedneKode, pac pa jo nekatere stranke, katerim ni pomagalo niti to, da so imele na strezniku nastavljen nek firewall. Exploit pac deluje na UDP-ju, ki ga je cisto enostavno spoofat.

O tem da okuzbe ni bilo mozno preprecit...bilo je mozno, ampak za to moras imet nekoga, ki se na stvari spozna in ima voljo to pocet (ce gre res za napako opisano v linku v clanku, potem je patch na voljo ze priblizno pol leta).

BuDi79 ::

ma ja, tezko je upgrejdat SQL .... rabis mogoce 3 minute casa...

http://www.cnn.com/2003/TECH/internet/0...

The attack sought to take advantage of a software flaw discovered by researchers in July 2002 that permits hackers to seize control of corporate database servers. Microsoft deemed the problem "critical" and offered a free repairing patch, but it was impossible to know how many computer administrators applied the fix.

"People need to do a better job about fixing vulnerabilities," Schmidt said.

darh ::

b: sej se mi je zdelo ta je tako... just jokin..upejmo da bo tole SmotaneStrankeTM prepričal...
Excuses are useless! Results are priceless!

bradek ::

Jeebs ::

AA Unique tud ni delal. Nasploh je dons bil internet ZELO počasen. ;(
Press any key to continue... RESET. Didn't you say ANY key?!?!?!

sasox ::


sam take lene admine bi pa sam ceste pometat se poslau...bemti tok cajta je patch uzuni pa nic...prekleti lamerji...grr

Spc ::

Sramota za Admine da nimajo 3minute časa, da bi update-ali patch za SQL, ki je zunaj že pol leta!!!

;((

mrTwelveTrees ::

kaj sramota.... več kot to

lenobe lene ;(( ;(

minmax ::

1. katerkoli admin ima MsSQL odprt v internet je _KRETEN_
HALO? To je backend database, to ni za to, da je port odprt za internet

2. očitno je kretenov (z MSCE) na tem svetu veliko

3. saj bi se z veseljem prav škodoželjno smejal MS reboot monkeys, ampak dejstvo je, da bi se kaj takega lahko zgodilo za katerikoli strežniški program, tudi apache, mysql itd..

4. zakaj se to še ni zgodilo za te programe? ne vem,... najbolj razširjen linux virus, ki ga poznam je tisti ki je izkoriščal bug v openssl in se je širil preko apacha, končno število okuženih hostov 7000

5. še enkrat, zakaj torej ni več problemov z drugimi izdelki? mogoče so bolj varni, mogoče imajo boljše admnistratorje, mogoče pa samo ljudje ne znajo ali nočejo dobre zlobnekode (hihihi ?) za druge sisteme pisat...

ampak neki mora bit na tem...

splet2.com ::

minmax: ma dej ne bot no pameten zdej..jaz pa še enih 5-6 adminov Windows mašin na Volji je melo danes takšne težave. Pa še na tisoče strežnikov po celem svetu isto. In Siol tudi. Itd itd. Ker je pač nemogoče spremljati čist vse security issue, ki jih MS napiše. Pa smo težave odpravli do 13h, medtem ko recimo slo-tech še 4 ure ni delal.

Sam po tvoje smo vsi kreteni, ne..
btw tvoja kiberpipa je pa še vedno dol..vsaj trenutno..

Dami ::

Jebemo proklet siol. Celi dan že sirje medtem ko ostalo dela. Pol pa take izjave mečejo: Za nastale nevšečnosti se vam iskreno opravičujemo, čeprav nanje nismo mogli vplivati.
Čeprav je patch za to izšel pred pol leta. In še smeha polna skleda: Omenjena luknja v Microsoftovi programski opremi je bila odkrita že julija lani, napadalcem pa omogoča prevzem nadzora nad podatkovnimi strežniki. Microsoft je takrat to pomanjkljivost označil kot zelo kritično, zato je brezplačno ponudil popravek, ki pa ga očitno veliko računalniških administratorjev ni uporabilo.
Don't worry about me. The bleeding is just the begining of a healing process.

pivmik ::

prokleti admini od mojega kurca, to sploh niso admini!!!
TO JE POL LETA STAR BUG!

In mi najebemo! ker ne moremo več surfat po netu
LP, Gregor GRE^

CaqKa ::

plosk, plosk, plosk vsem adminom...

ne moreš spremnljat vseh patch list... kaj je update bil dosegljiv preko windows update.com? if yes loop 'plosk, plosk, '

minmax ::

splet2.com

oprosti, ampak, če imate MsSQL porte ODPRTE v internet, ste KRETENI (v smislu slabi administratorji). (ja stojim za to izjavo 100%)

ne pravim da so kreteni ISPji, ki imajo te butaste firme z nesposobnimi admini priklopljene. ... ISPji so večinoma žrtve.

ampak če pa adminsitriraš katerokoli kišto in dopustiš, da bi bil na njej recimo MsSQL ali MySQL odprt v internet... si pa kreten.. (oziroma bolj natačno: ne opravljaš svojega dela)


btw: če bi bral mailing listo obvestil kiberpipe, bi vedel da je pipin strežnik down zaradi menjave firewall ohišja


minmax ::

aja še to
...
no mogoče je izjava kreteni res malce huda... mišljena je seveda strogo v smislu administratorskega posla... ne v osebnem življenju ali čemurkoli kar nima neposredne zveze z administriranjem strežnikov in mrež.

sorry... mislim da veš kako mora firewall delati: blokiraš navznot vse, razen česar explicitno ne dovoliš.
in v nobenem primeru ne dovoliš dostop do backend strežnikov kar iz kjerkoli...

ne vem kje je tvoja vloga v celi situaciji, ampak upam da mi ne boš sedaj trdil, da lahko administrator pri zdravi pameti ima odprte takšne stvari

ne gre za patchanje, gre za security policy.... ni ti treba sploh bit na katerihkoli listah, da bi vedel da se backend strežnikov ne daje v internet.

Han ::

Bedno je predvsem to, da je pol Slovenije vezane na SiOL. ARNES je, naprimer, deloval ves čas nemoteno...

_Jedi_ ::

JEBO VAM PAS MATER SLO-TECHOVSKO. CEL DAN NISEM MOGU PRIDET NA VAŠO KURČEVO STRAN!!!!!!!!!!!!!!!!!!! :| :| :| :| :|

DSmidgy ::

Jest ne vem zakaj Microsoft vedno pusti vklopljene vse možne funkcije po defaultu. Recimo v outlooku .. da se skripte izvršujejo (a ni lažji to izklopljen pustit in potem vklopi tisti, ki to rabi). Tudi pri sql strežniku bi se to po moje dalo naredit (daš da sql odpre port na 127.0.0.1 po defaultu - za večje sisteme, ko je sql strežnik recimo na drugem IPju kot web server pa potem spremeniš da se sql port odpre na vseh IPjih ali samo na tistega, ki ga določiš).

neo ::

Porka madona, jaz pa sem mislil da ste ukinili stran...

Seadoo ::

No ko že govorite o MySQL-u. Jaz ga mam na svojem PCju pa imam tudi firewall. Kako preprečim, da bi od zunaj lahko kdo uporabljal MySql?
Out of my mind. Back in five minutes.

minmax ::

seadoo:

po defaultu (v večini distribucij) ima mysql itak zaprte vse porte in se ga da uporabljat samo lokalno

če si to spremenil, potem je pametno da določiš točno iz katerih ipjev se lahko folk konekta

drugače pa vsak normaln firewall je itak tako narejen, da blokira vse česar eksplicitno ne dovoliš... torej, poglej kako imaš naštelan firewall (kaj pa uporabljaš, linux/bsd ali kaj specifičnega za fw kišto?) narediš iptables-save pa ti izpiše kakšne ima nastavitve

drugače pa vsak spodobn admin kadar kaj novega instalira gre na nek drug strežnik in zažene "nmap njegov.streznik.ip", zato da je zihr prepričan da ni nič odprto, kar ne bi smelo bit

nmap je načeloma tvoj največji prijatelj, če se hočeš prepričat da nimaš kaj preveč odprt (aja pa za preverjeanje udpjev moraš navest -sU)

Highlag ::

_Jedi_

Če bi prebral vsebino novice in odgovorov na novice, bi videl kakkšno neumno pripombo si spisal [:\]

splet2.com ::

mah jst se itak nočem preveč zagovarjat za svoj server, ker vem da bi moral take stvari prej pokrpati..je pa tudi res, da sem bil prepričan, da je server za (strojnim) ISPjevem firewallom in se nisem preveč s tem obremenjeval..

sam mi gre pa na živce, ko se oglašajo (večinoma) taki, ki itak nimajo ne znanja ne izkušenj pa mislijo da vse vejo, čeprov še sploh niso probal..ni tko lahko administrirat server, tako Windows kot Linux, kar se je sedaj tudi pokazalo..

S tabo CaqKa pa sploh brezveze kaj razpravljat..svoje poznavanje si pokazal, ko si napisal, da obstaja Windows Update..seveda obstaja, sam ko bi vsaj update-al tudi SQL Server oz. MSDE instance.:P

CaqKa ::

ti se kr zgovarjaj... če si slotechovci lahko vsak dan vlečejo nove drivere dol za grafično zakaj nebi ti mogel enkrat na mesec pogledat če je kakšen nov patch za mssql?
pa ne samo ti... ampak še vsi ostali administratorji

aja pa še nekaj za povrh!
admini ste PLAČANI zato da pogledate in uredite da bo vse špilalo kot treba, sem sodi verjetno tudi do da pogledaš če so izšli morebitni patchi. PLAČANI ste za to!!!

SasoS ::

Slo-techov page JE delal več časa kot pa Siol!! Če vaš ISP ne zna blokirat prometa to ni krivda slo-techa.

zile ::

Damn folk a ste vi vsi psihiči ? Mal poglejte kaj pišete [:\] Samo zmerjanje vsepopvprek.

Seadoo ::

minmax: sam nisem spreminjal nicesar, bolj se bojim, ker sem instaliral tudi phpmyadmin, ki pac deluje preko apache serverja in ce se komu da, lahko recimo ugotovi passworde.

Nisem pa nic spreminjal v mysqlu. Uporabljam pa Sygate personal, apacheju sem valda dovolil dostop do in od neta. Sam MySql me se ni vprasal, tako da ne more dostopat.

Kako se pa z Win2000 pozene nmap? Sem pa pognal par portscannerjev na internetu in razen porta 80 niso ugotovili nic odprtih portov.
Out of my mind. Back in five minutes.

Spc ::

minmax ::

nmap (tudi za windows) dobiš tule:
http://www.insecure.org/nmap/nmap_downl...

Mr.B ::

Loleki !
Če se po code redu niso nič naučili , kaj se bodo pa sedaj.
Če se jim ne da enkrat na ms security update pogledati , potem pa naj raje nehajo obstajat na netu. La od kje izhaja reklo da so linuxi bolj varni , zaradi takih lolekov kot so bili današnji admini, Ja kaj mislijo če imajo firewall , da so varni , al kaj ....
Voljeno telo ogledalo volilnega telesa.

mrTwelveTrees ::

minmax; ne bit tok pameten , ker drugič ....

sam tko ti povem

ne mi kr tko govor kdo je kreten !

Lee_Nover ::

kaj pa tole : get a life ?
ceb mel saj mal bl druzabn lajf nebi jokal kok ur in minut net ni delu in da revezi niste mel kej za pocet
najlazji rect "glupi admini kaj niste porihtal" ... ja k bi pa sami kdaj mal probal adminat take zadeve bi pa vidl, da to ni tko si mislte
in kaj pol ce mas na ms sql odprt comm port na vn ?
kaj pa remote db, admin, ... zgleda se nis nch tazga delu minmax .. kreten pisunski
ah .. itak je vseskp brezveze, ker ocitno nimate pojma .. sam trobte kar nekje preberete

V-i-p ::

Ej, ej, igo1 in Lee_Nover, zdej se pa umirita počasi, no ;((. Minmax je zgoraj lepo povedal, kaj je mislil, zdaj pa same žaljivke padajo, jao...:O
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

b ::

splet2.com: Ce pogledas na to stran, bos ugotovil, da je slo-tech delal od 14h naprej. To je blo 10 minut po tistem, ko je nekdo prisel do strezniske sobe in ugotovil kje je problem in izkljucil okuzene racunalnike z omrezja. Se 4 ure pa Siolu ni delal peering z ostalimi slovenskimi ponudniki. Mogoce je to tista stvar, ki ni delala.

Tigorsami ::

Zanimivo je, da se je črviček pojavil točno pol leta po objavi popravka. Sicer pa vas MS o popravkih obvesti tudi po epošti, seveda, če to želite - E-Mail Notification

AssFetish ::

eh
50% 50% mate prav.
eni pac nimajo cajta patche vsak dan dol vlect in tud ne vem zakaj bi jih...njihov problem ce jim kdo na masino pride...s svojimi mejhnimi linki tud ne morjo ne vem kaksne skode narest.
Pa tud vsak drugo uporabnik ne laufa SQL streznika da bi se to dal pr nas uporabit za en mass attack z vseh ADSL in kabel linkov.
Je pa res da je v tem primeru kriv ISP.Luknja je bila vec kot ocitno stara in ISP-ju uporabniki placujejo za uporabo storitev.Ta pa placuje pomojem kar lepo stevilo ljudi katerih dolznost je ta da skrbijo za varnost.
Se pravi da nimajo opravičila,ko pride do zlorabe luknje,ki je znana ze vec kot 6 mesecev.
Pomojem bi nekdo mogu letet...
Se posebi ce se vozi v mercedezu :)
Vse kar bi moral narediti je biti narocen na preklet MSDN update prek maila.pogledat tist mail,ki pride ko pac pride in zadevo ze pred pol leta updejtat.
Tukaj sploh ni izgovora.
Napast vse,ki majo odprte SQL streznike in jim rect da so kreteni(al kaj ze) je pa tud debilno.
Kaj ce bi jst zdej napadu VSE vaše lugos clane,ki uporabljajo SSH,ki je bolj buggy kot Windows 95 in se zacel dret da so vsi debili in mongoloidi,ker majo
a) to sploh instaliran
b) to instaliran na standard portu
c) nimajo zafirewallan
d) ....
pomojem bi me kastriral v roku 2 minut,ko bi kj tazga napisu.
Tko da chill ppl

Jeebs ::

Hm... Kakšen pa je bil kej obseg tega? Predvidevam, da ni šlo samo za Slovenijo. ;(( :O :'( :(
Press any key to continue... RESET. Didn't you say ANY key?!?!?!

Gandalfar ::

AssFetish: tazadn stable ssh je bolj buggy? HALO? Ali si sposoben to trditev podpret. Pod buggy mislm security exploit.

CCD ::

Hmmm, jaz pa na svojem kablu in Arnesu nisem imel danes nobenih izpadov...očitno so free ISPji v Sloveniji bolj porihtani kot tisti ki rabjo kar naprej kupe dnarja...so what else is new...|O

JohnyB ::

Točn tko ja!
K SiOL ni delov je men net delov>:D
Apple iMac

minmax ::

sorry, morda besedico kreten res uporabljam prehitr, bi jo mogu nadomestit z nesposobnim administratorjem
...

sam nisem administrator, ... sam uskočm kje ko komu kaj znanja zmanjka.

Ne vem, ampak zdi se mi, da če sprejmeš delo administratorja potem to prinaša s sabo ogromno odgovornosti.

Drugače pa še vedno vztrajam da je vsak admin ki ima mssql odprt v internet nesposoben za to delo in bi ga, če bi bil moj uslužbenc vrgu na cesto.

Saj razlog ni važen, ... lenoba, nesposobnost, površnost... gre za to, da mora vsak odgovoren admin imeti visoke varnostne standrade

seveda pa tud vsak je pripravljen sprejet nek riziko.. recimo jaz rizika z interneta nisem pripravljen sprejet. sem pa pripravljen sprejet to če mi kdo terminale hijaccka v živol... in če ga dobim ga z veseljem povabim da pomaga pri njihovem nadaljnem vzdrževanju...

Phoebus ::

Glede popravkov in komentarjev "pol pa pravjo da je linux boljsi" bom rekel samo eno:

Ali windows pozna "apt-get update && apt-get upgrade"? Ne? Do takrat pa naj browsajo po netu za popravke in lukne.

Dejstvo je, da je na svetu prevec windowsov. In veliko prevec lenih adminov, ki mislijo, da ko masina stoji, stoji.

AngelOfDeath ::

kar se tiče slo-techa meni je redno deloval po 10 uri tko da ej verjetno bla napaka kje pri vas ne pa pri slo-techu.

DSmidgy ::

AssFetish: Je pa res da je v tem primeru kriv ISP.Luknja je bila vec kot ocitno stara in ISP-ju uporabniki placujejo za uporabo storitev.
A ISP nej kar zapira porte (recimo zej udp za mssql, pol še kakšnega za trojance - sej kmalu nebi bilo več prostega porta). Pa še to - nekateri ta mssql port uporabljajo - a misliš da bi bili veseli ko bi jim ISP zaprl port in jim strežnik nebi več delal.
AF: Ta pa placuje pomojem kar lepo stevilo ljudi katerih dolznost je ta da skrbijo za varnost.
A nej udirajo v računalnike, ki so na njegovem omrežju in updatajo sistem s popravki :)
AF: Se pravi da nimajo opravičila,ko pride do zlorabe luknje,ki je znana ze vec kot 6 mesecev.
A potem če ti dobiš virus iz amerike in ga naprej pošiljaš po netu potem je ISP kriv?



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo

slo tech zaslužek (strani: 1 2 )

Oddelek: Slo-Tech
694584 (2597) perci
»

www gostovanje za "malo" denarja....

Oddelek: Omrežja in internet
191534 (1178) Gandalfar
»

Zakup ali koolokacija strežnika? Kje, kako?

Oddelek: Omrežja in internet
212747 (2391) Uporabnik
»

phpMyadmin inštalacija

Oddelek: Izdelava spletišč
9989 (906) Bakunin
»

DDoS preko MS SQL 2000 & nedosegljivost slo-tech.com

Oddelek: Novice / Varnost
472440 (2440) CaqKa

Več podobnih tem