SQL-orm stanset servere og minibanker

Sør Koreas største internettilbyder og 13.000 minibanker i USA ble rammet av en orm som utnytter et forlengst fikset hull i SQL Server.

Klokken 06:30 lørdag morgen norsk tid kom de første meldingene om et massivt distribuert tjenestenekt angrep som rammet store internett-servere verden over, men særlig i USA og Sør-Korea.

I USA ble 13.000 minibanker til Bank of America satt helt ut av spill i flere timer. I Sør Korea innrømmet landets største internettilbyder, KT, at nærmest alle kundene hadde mistet sin forbindelse. Ellers erfarte internettbrukere i Kina og USA at forbindelsen var svært treg. Til sammen skal mer enn 120.000 servere ha vært rammet, blant dem en håndfull av nettets sentrale navneservere.

Angrepet var svært intens de første par timene, men dabbet raskt av etter hvert som systemadministratorer tok hånd om problemet.

Ormen som utløste angrepet går under navnene Sapphire, Slammer og SQLExp. Den utnytter et sikkerhetshull i SQL Server 2000 som Microsoft advarte mot i juli. Samtidig med advarselen ble det lagt ut en fiks. Advarselen ble gjentatt i forbindelse med nye sikkerhetshull i SQL Server som ble oppdaget i oktober.

Les også

Slammer-ormen får ufiksede utgaver av SQL Server til å generere masse internettrafikk. Selve ormen er bare 376 bytes, ikke større enn et titalls linjer med tekst, men den får SQL Server til å gå i en uendelig sløyfe der den praktisk talt ikke gjør annet enn å kringkaste ormen til andre servere. En interessant situasjon oppstår når to infiserte SQL Servere treffer hverandre: Begge får det travelt med å sende hverandre en uavbrutt strøm av identiske pakker.

Det er hittil ikke oppdaget annen skade enn den lammende økningen i trafikk. Slammer lagrer seg ikke på disken og infiserer ikke filer. Den blir følgelig borte når serveren tas ned og startes igjen. Botemiddelet er følgelig enkelt: Ta ned maskinen, installer fiksen som burde vært installert for mange måneder siden, og kjør i veg. Er dette vanskelig kan man blokkere for UDP port 1434, som er den porten Slammer bruker.

Seint søndag ble det uttrykt frykt i Sør Korea for at angrepet ville ta seg opp når arbeidsuken startet igjen mandag morgen. Meldingene hittil tyder på at så ikke har skjedd.

Til toppen