辽宁快乐12任3最大遗漏

 找回密碼
 請使用中文注冊

QQ登錄

只需一步,快速開始

搜索
新手快速入門新手學發貼無法收到EMAIL郵件禁發廣告貼
舊版論壇老用戶無法登錄版主申請維修聯盟網站大事記 
查看: 659|回復: 12
打印 上一主題 下一主題
收起左側

看一下辽宁快乐12走势: 注意!緊急通知??!

[復制鏈接]

辽宁快乐12任3最大遗漏 www.qebcbt.com.cn 該用戶從未簽到

跳轉到指定樓層
1#
發表于 2003-1-26 19:57:00 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
分享到:

馬上登錄【中國家電維修聯盟論壇】獲取更多更全面的信息!

您需要 登錄 才可以下載或查看,沒有帳號?請使用中文注冊

x
綠盟科技緊急公告(Alert2003-zh-01)


  Nsfocus安全小組([email protected])//www.nsfocus.com

  防范DoS攻擊!

  發布日期:2003-01-25

  受影響的軟件及系統:Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000

  - Microsoft Windows NT 4.0 SP6a

  - Microsoft Windows NT 4.0 SP6

  - Microsoft Windows NT 4.0 SP5

  - Microsoft Windows NT 4.0

  - Microsoft Windows 2000 Server SP3

  - Microsoft Windows 2000 Server SP2

  - Microsoft Windows 2000 Server SP1

  - Microsoft Windows 2000

  綜述:綠盟科技安全小組監測到一種針對Microsoft SQL Server 2000的蠕蟲正在活躍,危害極大。

  分析:北京時間2003年01月25日14時許,綠盟科技安全小組監測到忽然發生了世界范圍的大規模網絡訪問速度減慢甚至阻塞的情況,經過綠盟科技安全小組對捕獲的數據樣本分析和研究,已經明確,這是一種新出現的針對Microsoft SQL Server 2000的蠕蟲。

  該蠕蟲本身非常小,僅僅是一段376個字節的數據。利用的安全漏洞是“Microsoft SQL Server 2000 Resolution服務遠程棧緩沖區溢出漏洞”(//www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=3148)。

  蠕蟲利用的端口是UDP/1434,該端口是SQL Server Resolution服務。Microsoft SQL Server 2000支持在單個物理主機上伺服多個SQL服務器的實例,每個實例操作需要通過單獨的服務,不過多個實例不能全部使用標準SQL服務會話會話端口(TCP 1433),所以SQL Server Resolution服務操作監聽在UDP 1434端口,提供一種使客戶端查詢適當的網絡末端用于特殊的SQL服務實例的途徑。

  當SQL Server Resolution服務在UDP 1434端口接收到第一個字節設置為0x04的UDP包時,SQL監視線程會獲取UDP包中的數據并使用此用戶提供的信息來嘗試打開注冊表中的某一鍵值,如發送\x04\x41\x41\x41\x41類似的UDP包,SQL服務程序就會打開如下注冊表鍵:HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion攻擊者可以通過在這個UDP包后追加大量字符串數據,當嘗試打開這個字符串相對應的鍵值時,會發生基于棧的緩沖區溢出,通過包含"jmp esp"或者"call esp"指令的地址覆蓋棧中保存的返回地址,可導致以SQL Server進程的權限在系統中執行任意指令。

  蠕蟲溢出成功取得系統控制權后,就開始向隨機IP地址發送自身,由于這是一個死循環的過程,發包密度僅和機器性能和網絡帶寬有關,所以發送的數據量非常大。在綠盟科技安全小組的測試中,和被感染機器在同一網段的每一臺分析機每秒鐘都收到了近千個數據包。

  該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件。對于感染的系統,重新啟動后就可以清除蠕蟲,但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬,形成Udp Flood,感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。

  解決方法:綠盟科技安全小組建議所有運行Microsoft SQL Server 2000和近期發現網絡訪問異常的用戶按照以下解決方案操作:

  1、找到被感染的主機

  啟動網絡監視程序(譬如Sniffer Pro),找到網絡中大量發送目的端口為UDP/1434的主機,這些主機極為可能感染了該蠕蟲。如果由于蠕蟲發出的數據包流量過大導致網絡監視程序工作不正常,則可嘗試設定規則為捕獲一定大小數據后停止捕獲。

  如果不能確定,則認為所有運行Microsoft SQL Server 2000而沒有安裝補丁程序的機器都是被感染的機器??沙⑹允褂枚絲諫杵?例如Nmap)掃描TCP/1433端口來找到運行Microsoft SQL Server的系統(但不能肯定版本是Microsoft SQL Server 2000 )。

  如果確定本系統內沒有可能被感染的機器(譬如一個UNIX網絡)則直接進行步驟3即可。

  2、拔掉被感染主機的網線

  3、在邊界防火墻或者路由器上阻塞外部對內和內部對外的UDP/1434端口的訪問

  如果該步驟實現有困難可使用系統上的TCP-IP篩選來阻塞對本機UDP/1434端口的訪問。

  4、重新啟動所有被感染機器

  5、插上所有機器的網線

  6、為被感染機器安裝最新的Microsoft SQL Server 2000 Service Pack:

  雖然Microsoft SQL Server 2000 SP2(//www.microsoft.com/sql/downloads/2000/sp2.asp)就已經解決了該問題,但考慮到在SP2之后又出現了一些嚴重安全問題,強烈建議安裝Microsoft SQL Server 2000 SP3(www.microsoft.com/sql/downloads/2000/sp3.asp)。

  或者至少應該下載針對該漏洞的熱修復補?。?br />
  www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

  注:上述步驟僅供參考。

  綠盟科技公司產品的冰之眼IDS(www.nsfocus.com/homepage/products/nids.htm)早在該漏洞發布時(2002年7月)就已經可以檢測此種攻擊;RSAS(www.nsfocus.com/homepage/products/rsas.htm)也早就可以檢測到網絡內受該漏洞影響的主機;對于大量的UDP數據流導致的拒絕服務,黑洞(//www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解決方案之一。

  附加信息: Microsoft SQL Server 2000 Resolution服務遠程棧緩沖區溢出漏洞

  發布日期:2002-07-25更新日期:2002-07-30

  受影響系統:Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000

  - Microsoft Windows NT 4.0 SP6a

  - Microsoft Windows NT 4.0 SP6

  - Microsoft Windows NT 4.0 SP5

  - Microsoft Windows NT 4.0

  - Microsoft Windows 2000 Server SP2

  - Microsoft Windows 2000 Server SP1

  - Microsoft Windows 2000描述:BUGTRAQ ID: 5311CVE(CAN) ID: CAN-2002-0649

  Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。

  Microsoft SQL Server 2000的Resolution服務對用戶提交的UDP包缺少正確的處理,遠程攻擊者可以利用這個漏洞進行基于棧的緩沖區溢出攻擊。

  Microsoft SQL Server 2000支持在單個物理主機上伺服多個SQL服務器的實例,每個實例操作需要通過單獨的服務,不過多個實例不能全部使用標準SQL服務會話會話端口(TCP 1433),所以SQL Server Resolution服務操作監聽在UDP 1434端口,提供一種使客戶端查詢適當的網絡末端用于特殊的SQL服務實例的途徑。

  當SQL Server Resolution服務在UDP 1434端口接收到第一個字節設置為0x04的UDP包時,SQL監視線程會獲取UDP包中的數據并使用此用戶提供的信息來嘗試打開注冊表中的某一鍵值,如發送\x04\x41\x41\x41\x41類似的UDP包,SQL服務程序就會打開如下注冊表鍵:

  HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion

  攻擊者可以通過在這個UDP包后追加大量字符串數據,當嘗試打開這個字符串相對應的鍵值時,會發生基于棧的緩沖區溢出,通過包含"jmp esp"或者"call esp"指令的地址覆蓋棧中保存的返回地址,可導致以SQL Server進程的權限在系統中執行任意指令。

  <*來源:NGSSoftware Insight Security Research ([email protected])

  鏈接:archives.neohapsis.com/archives/bugtraq/2002-07/0291.html

  www.microsoft.com/technet/security/bulletin/MS02-039.asp

  //www.ngssoftware.com/advisories/mssql-udp.txt*>

  建議:臨時解決方法:

  如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:

  *在邊界防火墻、網關設備或者SQL Server主機上限制對UDP/1434端口的訪問。由于UDP報文的源地址很容易偽造,所以不能簡單地限制只允許可信IP訪問。

  廠商補?。?br />
  Microsoft---Microsoft已經為此發布了一個安全公告(MS02-039)以及相應補丁:MS02-039:Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)鏈接:www.microsoft.com/technet/security/bulletin/MS02-039.asp

  補丁下載:

  * Microsoft SQL Server 2000:

  www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
  • TA的每日心情
    郁悶
    2012-9-19 13:23
  • 簽到天數: 2 天

    [LV.1]初來乍到

    2#
    發表于 2003-1-26 22:27:00 | 只看該作者
    這個病毒是利用sql server 2000的漏洞進行傳播的,并且不感染文件,只存在于服務器的內存中。

    因此,感染病毒的條件是:1、安裝了winnt/win2000/winxp;2、安裝了sql server 2000;3、未安裝未安裝ms sql server2000 sp3。

    所以一般的個人電腦是不會感染的??!大家不要慌!

    該用戶從未簽到

    3#
    發表于 2003-1-27 12:51:00 | 只看該作者
    暈!我三個條件都具備了。
    本網淘寶零售店//shop36180724.taobao.com/  (全部原裝電子元器件批發價零售)

    該用戶從未簽到

    4#
    發表于 2003-1-27 14:46:00 | 只看該作者
    快打補丁。

    該用戶從未簽到

    5#
    發表于 2003-1-27 18:06:00 | 只看該作者
    以下是引用黃珉瑛在2003-1-27 12:51:00的發言:
    暈!我三個條件都具備了。


    據報道 這種病毒不攻擊個人電腦的。

    姐姐放心吧!
    況且你還有放火墻呢?(最好盡快升級?。?/td>
    本網淘寶零售店//shop36180724.taobao.com/  (全部原裝電子元器件批發價零售)

    該用戶從未簽到

    6#
     樓主| 發表于 2003-1-28 20:29:00 | 只看該作者
    聽說是由香港發動的!
  • TA的每日心情
    郁悶
    2012-9-19 13:23
  • 簽到天數: 2 天

    [LV.1]初來乍到

    7#
    發表于 2003-1-28 21:53:00 | 只看該作者
    以下是引用偉記在2003-1-28 20:29:00的發言:
    聽說是由香港發動的!

    不會是小道消息吧·
    本網淘寶零售店//shop36180724.taobao.com/  (全部原裝電子元器件批發價零售)

    該用戶從未簽到

    8#
    發表于 2003-1-30 02:29:00 | 只看該作者
    以下是引用黃珉瑛在2003-1-27 12:51:00的發言:
    暈!我三個條件都具備了。

    呵呵`~~
    黃幫主好厲害呀~~~你的機器還裝了SQL~~~hehe ~~~~~做什么呀~

    該用戶從未簽到

    9#
    發表于 2003-1-30 16:22:00 | 只看該作者
    我才不怕.呵呵.

    該用戶從未簽到

    10#
    發表于 2003-1-30 19:39:00 | 只看該作者
    呵呵`~那樓上的。告訴我你的IP~~~~
    哈哈

    該用戶從未簽到

    11#
    發表于 2007-4-16 16:15:00 | 只看該作者
    不怕了.那是過去.[em02][em01]

    該用戶從未簽到

    12#
    發表于 2007-4-16 17:08:00 | 只看該作者
    不怕
  • TA的每日心情
    開心
    2013-11-23 09:03
  • 簽到天數: 14 天

    [LV.3]偶爾看看II

    13#
    發表于 2007-4-16 17:35:00 | 只看該作者
    好怕呀
    您需要登錄后才可以回帖 登錄 | 請使用中文注冊

    本版積分規則

    QQ|Archiver|手機版|網站地圖|資料列表|網站XML|板塊XML|辽宁快乐12任3最大遗漏 ( 粵ICP備09021106號  
    深圳市深威志電子有限公司 版權所有 站長QQ:17158聯系站長請點這里
    粵ICP備09021106號

    GMT+8, 2019-11-20 02:49 , Processed in 0.072128 second(s), 39 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回復 辽宁快乐12任3最大遗漏 返回列表