~ MSSQL en veiligheid
» Door Joren op vrijdag 24 januari 2003 - Reacties(3) - Reageer Ik had gisteren problemen met mijn database: hij bleef paketjes verzenden zonder dat ik dat wilde daardoor kon ik niets downloaden. Eerst had ik dat niet door, zocht ik naar verkeerde netwerkinstellingen en andere mogelijke oorzaken (moeder, broers, ...)Maar vond niets. Toen ik toch een minuut of twee op internet geraakte vond ik dit:Diverse bronnen op internet, waaronder CNN, maken melding van grote vertragingen op internet als gevolg van een virus-achtige uitbraak. Op dit moment worden er over het hele internet enorme aantallen scans uitgevoerd naar een lek in Microsoft SQL Server, waardoor een groot aantal sites verminderd bereikbaar zijn. Ook de DNS root-servers hebben bereikbaarheidsproblemen en tot wel 30 procent packetloss. Inmiddels heeft de worm een naam gekregen: W32/SQLSlammer.worm. Serverbeheerders worden aangeraden onmiddellijk de patch uit te voeren en de poorten 1432 tot en met 1434 voorlopig af te sluiten.
Het gaat om een bekend lek in SQL Server, dat werkt op UDP-poort 1434 (ms-sql-m). Voor dit lek is reeds enige maanden geleden een patch uitgebracht, die veel systeembeheerders echter nog niet hebben toegepast. De worm verzendt een pakketje van 376 bytes naar deze poort, waarop de geïnfecteerde server het pakketje naar willekeurige servers gaat vermenigvuldigen. Er is verder geen schade aan besmette servers: het enige wat de worm doet is zichzelf verder verspreiden. Bij het verzenden van UDP-pakketjes wordt geen pakketje teruggestuurd, waardoor met grote snelheid pakketjes op servers kunnen worden afgevuurd en netwerken kunnen komen plat te liggen.
Ook het Trueserver-netwerk is veel zwaarder belast dan normaal, de filters in de routers van TrueServer onderscheppen op dit moment maar liefst 16 terabyte verkeer per uur (!) als gevolg van de uitbraak. De uitbraak lijkt op die van "Code Red" in de zomer van 2001, toen er ook grote bereikbaarheidsproblemen optraden. Volgens Symantec zijn minimaal 22000 systemen wereldwijd het slachtoffer geworden van de aanval. Inmiddels verbetert de bereikbaarheid weer langzaam, maar met name in Azië zijn er nog problemen. Ook de Amerikaanse veiligheidsdiensten zijn zich ermee gaan bemoeien. Volgens hen is het mogelijk dat Noord-Korea betrokken is bij de uitbraak, maar dit gerucht lijkt vooralsnog niet gefundeerd:
"It's not debilitating," said Howard Schmidt, President Bush's No. 2 cyber-security adviser. "Everybody seems to be getting it under control." Schmidt said the FBI's National Infrastructure Protection Center and private experts at the CERT Coordination Center were monitoring the attacks. The latest attack was likely to revive debate within the technology industry about the need for an Internet-wide monitoring center, which the Bush administration has proposed. Some Internet industry executives and lawyers said they would raise serious civil liberties concerns if the U.S. government, not an industry consortium, operated such a powerful monitoring center.
Bron : T.net
Ik heb dan mijn mssql service uitgezet, daarna heb ik een firewall aangezet. Maar om dat ik toch eens wilde zien wat het effect was zette ik alles weer zoals het was. En maakte dit screenshot:
Ook pieter vanleuven heeft enkele pakketjes tegen zijn hardwarematige firewall zien botsen.
Ondertussen zit ik hier terug achter een firewall en kan niemand aan deze site/aan poort 1436. En ben ik aan het twijfelen of ik terug naar het access tijdperk ga of niet.
Hier zie je wat ik aan data versast heb op 25/01 let vooral op de verhouding upload/download door die hoge upload heb ik mijn datalimiet overschreden en zit ik nu op smalband
| 25/01/2003 10:53:35 | 1u 09m 55s | 39.708.740 bytes | 208.034 bytes |
| 25/01/2003 12:03:32 | 0u 13m 36s | 9.027.295 bytes | 211.085 bytes |
| 25/01/2003 12:17:10 | 0u 09m 09s | 7.414.961 bytes | 31.748 bytes |
| 25/01/2003 12:26:22 | 0u 03m 43s | 608.106 bytes | 962 bytes |
| 25/01/2003 12:30:06 | 1u 19m 47s | 60.814.177 bytes | 443.071 bytes |
| 25/01/2003 13:49:55 | 0u 02m 36s | 2.026.908 bytes | 5.374 bytes |
| 25/01/2003 13:52:35 | 1u 12m 59s | 60.223.770 bytes | 163.578 bytes |
| 25/01/2003 15:06:18 | 0u 12m 55s | 8.401.935 bytes | 15.675 bytes |
| 25/01/2003 15:19:14 | 0u 12m 07s | 4.791.179 bytes | 10.107 bytes |
| 25/01/2003 15:31:23 | 0u 03m 08s | 2.329.379 bytes | 6.136 bytes |
| 25/01/2003 15:34:34 | 0u 00m 38s | 511.963 bytes | 2.061 bytes |
| 25/01/2003 15:35:26 | 0u 05m 30s | 1.140.376 bytes | 50.932 bytes |
| 25/01/2003 15:41:48 | 0u 08m 11s | 1.855.295 bytes | 555.490 bytes |
| 25/01/2003 15:50:01 | 0u 03m 51s | 1.150.344 bytes | 2.077 bytes |
| 25/01/2003 15:53:55 | 0u 04m 02s | 1.567.500 bytes | 167.611 bytes |
| 25/01/2003 15:57:59 | 0u 03m 24s | 2.766.309 bytes | 5.582 bytes |
| 25/01/2003 16:01:41 | 0u 02m 38s | 1.001.825 bytes | 3.328 bytes |
| 25/01/2003 16:04:21 | 0u 07m 21s | 4.667.579 bytes | 10.496 bytes |
| 25/01/2003 16:11:44 | 0u 09m 38s | 282.999 bytes | 1.300.786 bytes |
| 25/01/2003 16:21:34 | 0u 09m 54s | 137.196 bytes | 973.921 bytes |
| 25/01/2003 17:42:09 | 0u 13m 23s | 108.100 bytes | 184.766 bytes |
| 25/01/2003 17:55:58 | 0u 08m 00s | 5.996.469 bytes | 16.417 bytes |
| 25/01/2003 18:04:27 | 0u 02m 24s | 1.464.129 bytes | 2.427 bytes |
| 25/01/2003 18:06:54 | 0u 02m 44s | 1.197.208 bytes | 2.544 bytes |
| 25/01/2003 18:09:40 | 0u 05m 30s | 378.416 bytes | 853 bytes |
| 25/01/2003 18:52:06 | 20u 54m 51s | 24.401.260 bytes | 81.553.199 bytes |
Das dus 232MB upload en 82MB download
Ook no-ip Lag er even uit waardoor de omzetting van mijn ip naar six.servebeer.com niet werkte. Ook Thesix.tk werkte toen niet.
Dit zegt men op de site van Microsoft over de evaluation version van mssql 2000:
Due to the recent "Slammer" worm, Microsoft has temporarily removed the SQL Server trial software.
SQL Server 2000 Evaluation Editions are intended for short-term testing and should not be used in production environments. For this reason, the Evaluation Editions do not support security patches and service packs.
Any computers running SQL Server 2000 Evaluation Editions should be kept in a test environment separate from network access.
If computers are running SQL Server 2000 Evaluation Editions are part of a corporate network, they should be taken offline and updated to released versions with the appropriate security patches.
Code