SQL蠕虫病毒
【故障现象】SQL是蠕虫一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。
此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
【快速查找】在WebUIà上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、协议为TCP,外网端口为1433;协议为UDP,外网端口为1434;
2、会话中有上传包,下载包往往很小或者为0。
【解决办法】
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关SQL Server的补丁。
2、在安全网关上关闭该病毒的相关端口。
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
2)WebUIà高级配置à业务管理à业务策略配置,建立策略“f_1433”(可以自定义名称),屏蔽目的端口为TCP1433的数据包,按照下图进行配置,保存。
3)WebUIà高级配置à业务管理à业务策略列表中,可以查看到上一步建立的“f_1433”策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。
4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编辑为“允许”,保存。
5)重复步骤2),将SQL蠕虫其他的端口如:UDP 1434端口关闭。
6)WebUIà高级配置à业务管理à全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
3、注意:
1)配置前不能有命令生成的业务管理策略存在,否则可能导致Web界面生成的业务管理策略工作异常或者不生效。
2)如果,已经有工作组存在,并且在业务管理中配置了策略,必须在WebUIà高级配置à组管理中,将该网段所有用户分配在相关的组中,然后在WebUIà高级配置à业务管理中将这些组的相关端口关闭。
3)如果内网有人确实需要使用外部的SQL服务,2.2)步骤会屏蔽内网所有向外请求的SQL服务,此时,可以只将内网中毒主机(假设192.168.0.100/24)的向外网的TCP 1433端口关闭,2.2)步骤作如下操作:
http://www.hack58.net/Article/60/64/2005/4784.htm
【故障现象】SQL是蠕虫一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。
此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。
【快速查找】在WebUIà上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:
1、协议为TCP,外网端口为1433;协议为UDP,外网端口为1434;
2、会话中有上传包,下载包往往很小或者为0。
【解决办法】
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关SQL Server的补丁。
2、在安全网关上关闭该病毒的相关端口。
1)WebUIà高级配置à组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
注意:这里用户局域网段为192.168.0.0/24,用户应该根据实际使用的IP地址段进行组IP地址段指定。
3)WebUIà高级配置à业务管理à业务策略列表中,可以查看到上一步建立的“f_1433”策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。
4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编辑为“允许”,保存。
6)WebUIà高级配置à业务管理à全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
3、注意:
1)配置前不能有命令生成的业务管理策略存在,否则可能导致Web界面生成的业务管理策略工作异常或者不生效。
2)如果,已经有工作组存在,并且在业务管理中配置了策略,必须在WebUIà高级配置à组管理中,将该网段所有用户分配在相关的组中,然后在WebUIà高级配置à业务管理中将这些组的相关端口关闭。
3)如果内网有人确实需要使用外部的SQL服务,2.2)步骤会屏蔽内网所有向外请求的SQL服务,此时,可以只将内网中毒主机(假设192.168.0.100/24)的向外网的TCP 1433端口关闭,2.2)步骤作如下操作:
