DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 313418 - Dernière mise à jour: vendredi 27 juillet 2007 - Version: 7.5

 

Symptômes

Un ver, nom de code «voyager alpha force,"qui exploitent vide SQL Server mots de passe administrateur ( sa ) système a été trouvé sur Internet. Le ver recherche pour un serveur qui exécute SQL Server par l'analyse pour le port 1433. Port 1433 est le port par défaut de SQL Server. Si le ver trouve un serveur, il essaie de se connecter à l'instance par défaut de ce SQL Server avec un mot de passe (NULL) sa vide.

Si la connexion est réussie, il diffuse l'adresse du serveur SQL non protégés sur un canal IRC (Internet Relay Chat) et puis essaie de charger et exécuter un fichier exécutable à partir d'un site FTP dans Philippines. Se connecter à SQL Server comme sa fournit l'accès d'administration utilisateur à l'ordinateur et selon votre environnement particulier, éventuellement l'accès aux autres ordinateurs.

Contournement

Chacune des étapes de cette section vous aidera à sécuriser votre système en général, et n'importe lequel d'entre seul évitera ce ver particulier d'infecter votre serveur qui exécute SQL Server. Notez que ces étapes sont une partie de la sécurité standard «méthodes conseillées» pour une installation SQL Server.
  • Si votre mode d'authentification est en mode mixte (Windows Authentication et l'authentification SQL Server), de votre compte sa connexion avec un mot de passe non NULL. Le ver ne fonctionne que si vous ne disposez aucun sécurité pour votre compte de connexion sa . Par conséquent, il est préférable de suivre la recommandation de la rubrique "Administrateur système (SA) connexion" dans la documentation en ligne de SQL Server pour vérifier que le compte sa intégré possède un mot de passe fort, même si vous n'utilisez directement le compte sa vous-même. Pour une sécurité accrue, Activer Mode d'authentification Windows (authentification Windows uniquement), supprimant ainsi la possibilité pour personne à ouvrir une session tant qu'utilisateur sa . Configurer vos clients pour utiliser l'authentification Windows.
  • Activer l'audit des connexions réussies et infructueuses, puis arrêtez et redémarrez le service MSSQLServer.
  • Bloquez le port 1433 au niveau de vos passerelles Internet et affecter SQL Server d'écouter sur un autre port.
  • Si le port 1433 doit être disponible sur vos passerelles Internet, activez sortie/ingress pour empêcher toute utilisation abusive de ce port. Remarque contactez votre administrateur réseau ou votre fournisseur de pare-feu pour plus d'informations des ingress/sortie de filtrage.

  • S'exécuter le service SQLServer et l'Agent SQL Server sous un compte de Microsoft Windows NT ordinaire, pas un compte d'administration local.
Pour informations sur la façon de récupérer un système déjà compromis, visitez du indépendant CERT Coordination Center à l'adresse suivante :
«Étapes de récupération à partir un UNIX ou NT System Compromise»
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html (http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

«Intrus détection Checklist»
http://www.cert.org/archive/pdf/WIDC.pdf (http://www.cert.org/archive/pdf/widc.pdf)
Microsoft fournit des informations contacts de tiers pour vous aider à trouver support technique. Informations de contact peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude de ces informations contacts fournisseur tiers.

Plus d'informations

important : il n'existe aucun bogue dans SQL Server qui permet cette intrusion ; il est une vulnérabilité qui est créée par un système non sécurisé.

Les fichiers suivants indiquent la présence du ver :
  • rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4)
  • dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791)
  • win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0)
En outre, l'apparence de la clé de Registre suivante indique la présence de ce ver :
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Les clés de Registre suivantes sont les clés existantes pour SQL Server et ils sont utilisés par le ver pour contrôler l'accès à l'ordinateur en utilisant la bibliothèque réseau TCP/IP :
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Le ver utilise la procédure stockée, qui permet le ver exécuter toute commande du système d'exploitation que le compte qui exécute le service SQL Server dispose de l'autorisation d'exécuter étendue xp_cmdshell .

Pour plus d'informations sur la façon de sécuriser un serveur SQL Server, reportez-vous aux sites Web de Microsoft aux adresses suivantes :
http://www.microsoft.com/sql/technologies/security/default.mspx (http://www.microsoft.com/sql/technologies/security/default.mspx)

http://technet.microsoft.com/en-us/library/bb545450.aspx (http://technet.microsoft.com/en-us/library/bb545450.aspx)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2000 Standard
  • Microsoft SQL Server 7.0 Standard
  • Microsoft Data Engine 1.0
Mots-clés : 
kbmt kbprb KB313418 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 313418  (http://support.microsoft.com/kb/313418/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store