moj.net - Verjetno ste vsi že opazili, da je bil Slo-Tech danes nedosegljiv. Neposredni vzrok je bil preobremenjen usmerjevalnik na Moj.Net, posredni pa ZlobniKod™ za Microsoftov SQL Server 2000. ZlobniBojzi™, avtorji ZlobniKod™-a so očitno spisali exploit, ki preko luknje, objavljene junija 2002 (uporabniki BedneKode™ kliknite tukaj za opis napake in popravek) iz MSSQL 2000 naredi DDoS agenta. Moj.Net je začasno izključil vse okužene strežnike z SQL Server 2000, tako da omrežje zopet deluje normalno.
Dejansko je danes imelo kar veliko ISPjev pri nas in po svetu tezave.
"SiOL je imel danes od 7:00 ure dalje težave s stabilnostjo omrežja, zato je bilo moteno delovanje internetnih storitev. Razlog za nastale težave je bila okužba strežnikov, ki temeljijo na Microsoftovi SQL tehnologiji. Okužbe s črvom nismo mogli preprečiti. Za morebitne nevšečnosti se vam iskreno opravičujemo in prosimo za razumevanje."
Moj.Net ne uporablja BedneKode, pac pa jo nekatere stranke, katerim ni pomagalo niti to, da so imele na strezniku nastavljen nek firewall. Exploit pac deluje na UDP-ju, ki ga je cisto enostavno spoofat.
O tem da okuzbe ni bilo mozno preprecit...bilo je mozno, ampak za to moras imet nekoga, ki se na stvari spozna in ima voljo to pocet (ce gre res za napako opisano v linku v clanku, potem je patch na voljo ze priblizno pol leta).
The attack sought to take advantage of a software flaw discovered by researchers in July 2002 that permits hackers to seize control of corporate database servers. Microsoft deemed the problem "critical" and offered a free repairing patch, but it was impossible to know how many computer administrators applied the fix.
"People need to do a better job about fixing vulnerabilities," Schmidt said.
1. katerkoli admin ima MsSQL odprt v internet je _KRETEN_ HALO? To je backend database, to ni za to, da je port odprt za internet
2. očitno je kretenov (z MSCE) na tem svetu veliko
3. saj bi se z veseljem prav škodoželjno smejal MS reboot monkeys, ampak dejstvo je, da bi se kaj takega lahko zgodilo za katerikoli strežniški program, tudi apache, mysql itd..
4. zakaj se to še ni zgodilo za te programe? ne vem,... najbolj razširjen linux virus, ki ga poznam je tisti ki je izkoriščal bug v openssl in se je širil preko apacha, končno število okuženih hostov 7000
5. še enkrat, zakaj torej ni več problemov z drugimi izdelki? mogoče so bolj varni, mogoče imajo boljše admnistratorje, mogoče pa samo ljudje ne znajo ali nočejo dobre zlobnekode (hihihi ?) za druge sisteme pisat...
minmax: ma dej ne bot no pameten zdej..jaz pa še enih 5-6 adminov Windows mašin na Volji je melo danes takšne težave. Pa še na tisoče strežnikov po celem svetu isto. In Siol tudi. Itd itd. Ker je pač nemogoče spremljati čist vse security issue, ki jih MS napiše. Pa smo težave odpravli do 13h, medtem ko recimo slo-tech še 4 ure ni delal.
Sam po tvoje smo vsi kreteni, ne.. btw tvoja kiberpipa je pa še vedno dol..vsaj trenutno..
Jebemo proklet siol. Celi dan že sirje medtem ko ostalo dela. Pol pa take izjave mečejo: Za nastale nevšečnosti se vam iskreno opravičujemo, čeprav nanje nismo mogli vplivati. Čeprav je patch za to izšel pred pol leta. In še smeha polna skleda: Omenjena luknja v Microsoftovi programski opremi je bila odkrita že julija lani, napadalcem pa omogoča prevzem nadzora nad podatkovnimi strežniki. Microsoft je takrat to pomanjkljivost označil kot zelo kritično, zato je brezplačno ponudil popravek, ki pa ga očitno veliko računalniških administratorjev ni uporabilo.
Don't worry about me. The bleeding is just the begining of a healing process.
oprosti, ampak, če imate MsSQL porte ODPRTE v internet, ste KRETENI (v smislu slabi administratorji). (ja stojim za to izjavo 100%)
ne pravim da so kreteni ISPji, ki imajo te butaste firme z nesposobnimi admini priklopljene. ... ISPji so večinoma žrtve.
ampak če pa adminsitriraš katerokoli kišto in dopustiš, da bi bil na njej recimo MsSQL ali MySQL odprt v internet... si pa kreten.. (oziroma bolj natačno: ne opravljaš svojega dela)
btw: če bi bral mailing listo obvestil kiberpipe, bi vedel da je pipin strežnik down zaradi menjave firewall ohišja
aja še to ... no mogoče je izjava kreteni res malce huda... mišljena je seveda strogo v smislu administratorskega posla... ne v osebnem življenju ali čemurkoli kar nima neposredne zveze z administriranjem strežnikov in mrež.
sorry... mislim da veš kako mora firewall delati: blokiraš navznot vse, razen česar explicitno ne dovoliš. in v nobenem primeru ne dovoliš dostop do backend strežnikov kar iz kjerkoli...
ne vem kje je tvoja vloga v celi situaciji, ampak upam da mi ne boš sedaj trdil, da lahko administrator pri zdravi pameti ima odprte takšne stvari
ne gre za patchanje, gre za security policy.... ni ti treba sploh bit na katerihkoli listah, da bi vedel da se backend strežnikov ne daje v internet.
Jest ne vem zakaj Microsoft vedno pusti vklopljene vse možne funkcije po defaultu. Recimo v outlooku .. da se skripte izvršujejo (a ni lažji to izklopljen pustit in potem vklopi tisti, ki to rabi). Tudi pri sql strežniku bi se to po moje dalo naredit (daš da sql odpre port na 127.0.0.1 po defaultu - za večje sisteme, ko je sql strežnik recimo na drugem IPju kot web server pa potem spremeniš da se sql port odpre na vseh IPjih ali samo na tistega, ki ga določiš).
po defaultu (v večini distribucij) ima mysql itak zaprte vse porte in se ga da uporabljat samo lokalno
če si to spremenil, potem je pametno da določiš točno iz katerih ipjev se lahko folk konekta
drugače pa vsak normaln firewall je itak tako narejen, da blokira vse česar eksplicitno ne dovoliš... torej, poglej kako imaš naštelan firewall (kaj pa uporabljaš, linux/bsd ali kaj specifičnega za fw kišto?) narediš iptables-save pa ti izpiše kakšne ima nastavitve
drugače pa vsak spodobn admin kadar kaj novega instalira gre na nek drug strežnik in zažene "nmap njegov.streznik.ip", zato da je zihr prepričan da ni nič odprto, kar ne bi smelo bit
nmap je načeloma tvoj največji prijatelj, če se hočeš prepričat da nimaš kaj preveč odprt (aja pa za preverjeanje udpjev moraš navest -sU)
mah jst se itak nočem preveč zagovarjat za svoj server, ker vem da bi moral take stvari prej pokrpati..je pa tudi res, da sem bil prepričan, da je server za (strojnim) ISPjevem firewallom in se nisem preveč s tem obremenjeval..
sam mi gre pa na živce, ko se oglašajo (večinoma) taki, ki itak nimajo ne znanja ne izkušenj pa mislijo da vse vejo, čeprov še sploh niso probal..ni tko lahko administrirat server, tako Windows kot Linux, kar se je sedaj tudi pokazalo..
S tabo CaqKa pa sploh brezveze kaj razpravljat..svoje poznavanje si pokazal, ko si napisal, da obstaja Windows Update..seveda obstaja, sam ko bi vsaj update-al tudi SQL Server oz. MSDE instance.
ti se kr zgovarjaj... če si slotechovci lahko vsak dan vlečejo nove drivere dol za grafično zakaj nebi ti mogel enkrat na mesec pogledat če je kakšen nov patch za mssql? pa ne samo ti... ampak še vsi ostali administratorji
aja pa še nekaj za povrh! admini ste PLAČANI zato da pogledate in uredite da bo vse špilalo kot treba, sem sodi verjetno tudi do da pogledaš če so izšli morebitni patchi. PLAČANI ste za to!!!
minmax: sam nisem spreminjal nicesar, bolj se bojim, ker sem instaliral tudi phpmyadmin, ki pac deluje preko apache serverja in ce se komu da, lahko recimo ugotovi passworde.
Nisem pa nic spreminjal v mysqlu. Uporabljam pa Sygate personal, apacheju sem valda dovolil dostop do in od neta. Sam MySql me se ni vprasal, tako da ne more dostopat.
Kako se pa z Win2000 pozene nmap? Sem pa pognal par portscannerjev na internetu in razen porta 80 niso ugotovili nic odprtih portov.
Loleki ! Če se po code redu niso nič naučili , kaj se bodo pa sedaj. Če se jim ne da enkrat na ms security update pogledati , potem pa naj raje nehajo obstajat na netu. La od kje izhaja reklo da so linuxi bolj varni , zaradi takih lolekov kot so bili današnji admini, Ja kaj mislijo če imajo firewall , da so varni , al kaj ....
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
kaj pa tole : get a life ? ceb mel saj mal bl druzabn lajf nebi jokal kok ur in minut net ni delu in da revezi niste mel kej za pocet najlazji rect "glupi admini kaj niste porihtal" ... ja k bi pa sami kdaj mal probal adminat take zadeve bi pa vidl, da to ni tko si mislte in kaj pol ce mas na ms sql odprt comm port na vn ? kaj pa remote db, admin, ... zgleda se nis nch tazga delu minmax .. kreten pisunski ah .. itak je vseskp brezveze, ker ocitno nimate pojma .. sam trobte kar nekje preberete
splet2.com: Ce pogledas na to stran, bos ugotovil, da je slo-tech delal od 14h naprej. To je blo 10 minut po tistem, ko je nekdo prisel do strezniske sobe in ugotovil kje je problem in izkljucil okuzene racunalnike z omrezja. Se 4 ure pa Siolu ni delal peering z ostalimi slovenskimi ponudniki. Mogoce je to tista stvar, ki ni delala.
Zanimivo je, da se je črviček pojavil točno pol leta po objavi popravka. Sicer pa vas MS o popravkih obvesti tudi po epošti, seveda, če to želite - E-Mail Notification
eh 50% 50% mate prav. eni pac nimajo cajta patche vsak dan dol vlect in tud ne vem zakaj bi jih...njihov problem ce jim kdo na masino pride...s svojimi mejhnimi linki tud ne morjo ne vem kaksne skode narest. Pa tud vsak drugo uporabnik ne laufa SQL streznika da bi se to dal pr nas uporabit za en mass attack z vseh ADSL in kabel linkov. Je pa res da je v tem primeru kriv ISP.Luknja je bila vec kot ocitno stara in ISP-ju uporabniki placujejo za uporabo storitev.Ta pa placuje pomojem kar lepo stevilo ljudi katerih dolznost je ta da skrbijo za varnost. Se pravi da nimajo opravičila,ko pride do zlorabe luknje,ki je znana ze vec kot 6 mesecev. Pomojem bi nekdo mogu letet... Se posebi ce se vozi v mercedezu :) Vse kar bi moral narediti je biti narocen na preklet MSDN update prek maila.pogledat tist mail,ki pride ko pac pride in zadevo ze pred pol leta updejtat. Tukaj sploh ni izgovora. Napast vse,ki majo odprte SQL streznike in jim rect da so kreteni(al kaj ze) je pa tud debilno. Kaj ce bi jst zdej napadu VSE vaše lugos clane,ki uporabljajo SSH,ki je bolj buggy kot Windows 95 in se zacel dret da so vsi debili in mongoloidi,ker majo a) to sploh instaliran b) to instaliran na standard portu c) nimajo zafirewallan d) .... pomojem bi me kastriral v roku 2 minut,ko bi kj tazga napisu. Tko da chill ppl
Hmmm, jaz pa na svojem kablu in Arnesu nisem imel danes nobenih izpadov...očitno so free ISPji v Sloveniji bolj porihtani kot tisti ki rabjo kar naprej kupe dnarja...so what else is new...
sorry, morda besedico kreten res uporabljam prehitr, bi jo mogu nadomestit z nesposobnim administratorjem ...
sam nisem administrator, ... sam uskočm kje ko komu kaj znanja zmanjka.
Ne vem, ampak zdi se mi, da če sprejmeš delo administratorja potem to prinaša s sabo ogromno odgovornosti.
Drugače pa še vedno vztrajam da je vsak admin ki ima mssql odprt v internet nesposoben za to delo in bi ga, če bi bil moj uslužbenc vrgu na cesto.
Saj razlog ni važen, ... lenoba, nesposobnost, površnost... gre za to, da mora vsak odgovoren admin imeti visoke varnostne standrade
seveda pa tud vsak je pripravljen sprejet nek riziko.. recimo jaz rizika z interneta nisem pripravljen sprejet. sem pa pripravljen sprejet to če mi kdo terminale hijaccka v živol... in če ga dobim ga z veseljem povabim da pomaga pri njihovem nadaljnem vzdrževanju...
AssFetish: Je pa res da je v tem primeru kriv ISP.Luknja je bila vec kot ocitno stara in ISP-ju uporabniki placujejo za uporabo storitev. A ISP nej kar zapira porte (recimo zej udp za mssql, pol še kakšnega za trojance - sej kmalu nebi bilo več prostega porta). Pa še to - nekateri ta mssql port uporabljajo - a misliš da bi bili veseli ko bi jim ISP zaprl port in jim strežnik nebi več delal. AF: Ta pa placuje pomojem kar lepo stevilo ljudi katerih dolznost je ta da skrbijo za varnost. A nej udirajo v računalnike, ki so na njegovem omrežju in updatajo sistem s popravki :) AF: Se pravi da nimajo opravičila,ko pride do zlorabe luknje,ki je znana ze vec kot 6 mesecev. A potem če ti dobiš virus iz amerike in ga naprej pošiljaš po netu potem je ISP kriv?