22 Мая 2002 14:05 22 Мая 2002 14:05 |

Spida: новый червь приходит с серверов MS SQL Server

Группа X-Force компании Internet Security Systems сообщила о появлении в сети нового червя, названного Spida, который распространяется через сервера MS SQL Server. Этот червь пытается подключиться к серверу БД, используя учетную запись администратора 'sa' и пустой пароль. Как только находится уязвимый компьютер, червь пересылает информацию о нем (включая конфигурацию машины и пароль) на внешний узел и начинает искать новые жертвы.

Данный червь не несет в себе деструктивных функций, но может снизить производительности сети, запуская до сотни параллельных процессов поиска уязвиымх узлов. Для устранения опасности заражения данным червем можно воспользоваться следующими рекомендациями:

1. Защитить MS SQL-сервер в соответствии с рекомендациями Microsoft.

2. Воспользоваться системой анализа защищенности СУБД Database Scanner, которая позволяет обнаруживать учетные записи с пустым паролем.

3. Создать новое правило Connection Event для системы RealSecure Network Sensor:

а. выбрать необходимый шаблон и нажать кнопку Customize

б. перейти на вкладку Connection Events и нажать кнопку Add

в. создать новое правило, задав ему имя, например, "MS/SQL Port Probe"

г. в поле Response задать необходимые варианты реагирования

д. в поле Protocol выбрать значение TCP, а в поле Dest Port/Type, в выпадающем меню создать новую запись для порта с номером 1433
- Нажмите кнопку Add и выберите TCP Protocol
- Введиме имя сервиса, например, MS/SQL Port Probe
- Задайте значение порта 1433 и нажмите кнопку OK

е. Сохраните изменения и примените шаблон к сенсору

4. Создать новое пользовательское правило для системы RealSecure Server Sensor:

Обзор NG SOAR — решения для управления инцидентами и оркестрации

Безопасность