SQL-orm er internettets hissigste angriper

SQLSnake leter opp svakheter i SQL Server-installasjoner. De siste dagene er ormen notert som internettets hissigste angriper.

Ormen SQLSnake - også kjent som Spida og Digispid - ble oppdaget 20. mai. SANS Institute advarte straks at ormen spredte seg svært raskt, og anbefalte alle med ansvar for installasjoner med Microsoft SQL Server å gjennomføre vernetiltak. Ormen sjekker gjennom port 1433 etter en typisk svakhet ved SQL Server-installasjoner. Slipper den inn, avleser den alle systemets passord og brukernavn og sender dem avgårde som e-post. Vernetiltak omfatter endring av alle passord, samt sletting av filer og nøkler i registry. SANS og eEye har detaljer. Fiks er tilgjengelig fra Microsoft Security Bulletin MS02-020.

Les også

SANS meldte 24. mai at smittefaren var på retur. Den aktuelle fem-dagers statistikken fra DShield.org tyder på at det er for tidlig å føle seg trygg. Statistikken viser at det var flere angrep mot port 1433 de siste fem døgn før i dag morges amerikansk tid enn mot port 80, den som brukes av blant andre Nimda og Code Red for å sjekke svakheter i webservere.

Dette er tallene oppgitt av DShield:

Nord-Amerika Europa Asia
Andel av alle angrep 34 prosent 16 prosent 46 prosent
hvorav mot port 1433 56 prosent 29 prosent 66 prosent
hvorav mot port 80 11 prosent 18 prosent 12 prosent

Det er første gang på mange måneder at port 80 ikke troner øverst på DShield-statistikken. Den relative store andelen som rettes mot port 1433 forsterkes av det faktum at angrep mot port 80 regelmessig går tilbake fra rundt den 19. i hver måned. Uansett har angrepene mot port 1433 økt betraktelig.

Det finnes gratis hjelpemidler i kampen mot SQLSnake. eEye lar deg laste ned en scanner som kan fortelle deg hvorvidt det er passordfrie kontoer på systemet. DShield lar deg sjekke IP-adressen din mot deres database over maskiner som angriper andre. Med nærmere 40 millioner registreringer, og over 300.000 nye hver dag, er det store sjanser for at de har notert IP-adressen din som angriper dersom noen skal ha misbrukt nettstedet ditt.
Til toppen