http://www.zdnet.co.jp/enterprise/0301/26/epn04.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SQLP1434.A
感染対象
SQL Server 2000,SQL Server 2000 Desktop Engine(MSDE2000)
脆弱性
2002/07報告 SQL Server 2000バッファオーバーフロー(MS02-039)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-039.asp
感染活動
ランダムなIPアドレスを生成し、そのUDP/1434ポートに自分自身を繰り返し送りつける。
→回線飽和、ルータ負荷上昇、DoS攻撃になりうる。
対策
ネットワーク管理者: ルータでUDP/1434ポートをフィルタリング。
SQL Server 2000管理者: SQL Server 2000 SP3を適用
国内の感染サーバ例
099040.kcom.co.jp
host2.abekyu-unet.ocn.ne.jp
てっきり厨房軍団が1214と1434を間違えて漏れのPCに接続しようとしているのかと思っていたよ
http://pc.2ch.net/test/read.cgi/sec/1043505853/
もちろんキャッシュ機構も実装して。
iDC設置のサーバの昨日のログだが、見事に100Base-TXが飽和してる(´Д`;)
http://pc.2ch.net/test/read.cgi/sec/1043478654/
ポート番号1434をつつかれてウザイ〜その2
http://pc.2ch.net/test/read.cgi/sec/1043505853/
http://www.nikkei.co.jp/news/main/20030126AT3K2600926012003.html
http://www.asahi.com/international/update/0126/002.html
http://www.asahi.com/international/update/0125/014.html
乙〜
ここはニュー速じゃねーんだよ。情報まとまってなくただ「うちにも1434来ました」
なんてーのはセキュリティ板のすることじゃない。
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/sqlslam.asp
【緊急】SQL Serverのセキュリティ・ホールを狙うワームがまん延中,一部ネットワー クに障害
パッチの適用とUDPポート1434番の遮断が急務,ウイルス対策ソフトでは検知できない
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030126/1/
(インストールの仕方によっては入ってないこともある)
・VS.NET
・Office XP professional, Developer
・Access 2002
http://www.microsoft.com/japan/sql/techinfo/development/2000/MSDE2000.asp
MSDE2000のパッチ
今のところMSDE2000 SP3はリリースされていないので、SP2と累積パッチを当てること
MSDE2000 SP2
http://download.microsoft.com/download/SQLSVR2000/SP/8.00.0534.01/W98NT42KMeXP/JA/JPN_SQL2KDeskSP2.exe
SP2用累積パッチ
http://support.microsoft.com/default.aspx?scid=kb;ja;JP316333
Office2000に入ってるのはMSDE1.0。SQLserver7.0ベースだから関係ない
http://www.microsoft.com/japan/Office/2000/techinfo/Prodinfo/MSDtaEng.asp
1434ポートへの接続元を地図上にプロットするスクリプト作ったヽ(^Д^)ノ
NetGeoが一部のwhoisサーバの応答文書にしか対応していないから
位置情報を取得できていないホストがまだ半分くらい残ってるけど
これから対応させる積り。
スレッド2は絶対無いな
MS02-061 の修正プログラムに、技術情報 317748 で修正された
修正プログラムを統合し、インストーラーを備えた新しい修正
プログラムを公開しました。
================================================================
SQL Server Web タスクで権限が昇格する (Q316333) (MS02-061)
登録日 : 2002/10/16
更新日 : 2003/01/26
概要 :
このセキュリティ情報の対象となるユーザー : Microsoft(R) SQL Server(TM)
7.0、SQL Server 2000、Microsoft Data Engine (MSDE) 1.0 および
SQL Server 2000 Desktop Engine (MSDE 2000) を使用しているシステム管理者
脆弱性の影響 : 権限の昇格
最大深刻度 : 緊急
推奨する対応策 : システム管理者は影響を受けるシステムに修正プログラムを
適用して下さい。
影響を受けるソフトウェア :
・Microsoft SQL Server 7.0 のすべてのエディション
・Microsoft Data Engine (MSDE) 1.0
・Microsoft SQL Server 2000 のすべてのエディション
・SQL Server 2000 Desktop Engine (MSDE 2000)
(MSDE 2000 が含まれている製品のリストは 「よく寄せられる質問」を
ご覧ください)
(つづく)
マイクロソフトは SQL Server 2000 用の更新された修正プログラムを
利用可能にしました。詳細は、「よく寄せられる質問」に記載される
予定です。
更新された SQL Server 2000 用の修正プログラムは、次のサイトから
ダウンロードできます。
(日本語の技術情報の更新は近日中に公開いたします。)
・8.00.0686_jpn_installer.exe
http://download.microsoft.com/download/SQLSVR2000/Patch/8.00.0686/W98NT42KMeXP/JA/8.00.0686_jpn_installer.exe
以前の修正プログラムは、次のサイトからダウンロードできます。
Microsoft SQL Server 7.0:
http://support.microsoft.com/default.aspx?scid=kb;ja;JP327068&sd=tech
Microsoft SQL Server 2000:
http://support.microsoft.com/default.aspx?scid=kb;ja;JP316333&sd=tech
修正プログラムに関する追加情報 :
対象プラットフォーム :
・SQL Server 7.0 用の修正プログラムは SQL Server 7.0 Service Pack 4 を
実行しているシステムにインストールすることができます。
・SQL Server 2000 用の修正プログラムは SQL Server 2000 Service Pack 2
を実行しているシステムにインストールすることができます。
この修正を含む予定のサービス パック :
これらの問題に対する修正プログラムは SQL Server 2000 Service Pack 3 に
含まれる予定です。
再起動の必要性 :
なし。しかし、SQL Server サービスを再開する必要がある場合があります。
修正プログラムのアンインストール :
ダウンロード可能なパッケージ内の Readme.txt にアンインストールの方法が
含まれています。
修正プログラムに含まれる過去の修正 : この修正プログラムは
マイクロソフト セキュリティ情報 MS02-056 で提供された累積的な修正を
含みます。
(つづく)
・よく寄せられる質問 : マイクロソフトセキュリティ情報(MS02-061
http://www.microsoft.com/japan/technet/security/bulletin/fq02-061.asp
・US マイクロソフトセキュリティ情報(MS02-061
http://www.microsoft.com/technet/security/bulletin/ms02-061.asp
・サポート技術情報 (KB) 文書番号 : JP316333
[INF] SQL Server 2000 Service Pack 2 のセキュリティ アップデート
http://support.microsoft.com/default.aspx?scid=kb;ja;JP316333
・サポート技術情報 (KB) 文書番号 : JP327068
[INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート
http://support.microsoft.com/default.aspx?scid=kb;ja;JP327068
・Microsoft Windows NT Server 4.0 Service Pack 6a を実行している場合、
この修正プログラムを適用する前に、マイクロソフト サポート技術情報
JP258437 で説明されているホットフィックスを適用する必要があります。
JP258437 は現在ダウンロードにて入手可能です。詳細はサポート技術情報
JP258437 をご覧ください。
・この累積的な修正プログラムにはマイクロソフト セキュリティ情報
MS02-035 で提供された Killpwd ツールの機能は含まれません。
・この修正プログラムは SQL Server 2000 に含まれる MDAC 及び OLAP 用の
修正プログラムは含んでいません。そのため、MDAC 及び OLAP に対する
セキュリティ修正プログラムに関しては別途適用を行う必要があります。
SQL Server 2000 Service Pack 2 以降にリリースされた SQL Server 2000
に対応した MDAC または OLAP 用の修正プログラムは、次の
セキュリティ情報で説明されている修正プログラムです。
・マイクロソフト セキュリティ情報 MS02-030
・修正プログラムのインストール プロセスは、サーバーの構成によって
異なります。システム管理者は、修正プログラムのパッケージの
Readme.txt ファイルを読み、修正プログラムを正しくインストール
するよう確認してください。
・最初に公開した修正プログラムをすでに適用している場合は、サポート
技術情報 317748 の修正プログラムを適用する場合は、既に適用されている
セキュリティ修正プログラムが削除されないよう、ファイルの上書きの
確認が表示された場合は、"いいえ"を選択する必要があります。
更新したセキュリティ修正プログラムは、この修正を含みます。最初に
公開した修正プログラムは、SQL Server の安定動作に必要な サポート
技術情報 317748 の修正が含まれていない事がわかりました。
http://www.microsoft.com/japan/technet/security/bulletin/fq02-061.asp
ユーザーではなくても“他人事”では済まされない
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030127/1/
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms02-061.asp
このセキュリティホールに関する最も的確な記事であるな。
ハンドルネームが「MS02-062(緊急)」だから、MS02-062 を見にいってしまった(藁
スマソ、逝ってくる・・・・
SQL ServerをDMZにおくなり外に晒すなりの
形態の運用ってそんなに多いの?
DBみたいなもんってできるだけ中においときたいと
思うんだが。。
用途によりますよ。トラックだって工事現場にしか無い訳じゃない。
日本語更新済み
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-061.asp
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/1/
米トレンド・マイクロがワーム 「WORM_SQLP1434.A」を警告,危険度は 「高」
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/2/
米ネットソルブ,アジアで猛威を振るう 「SQL Slammer」検出用シグネチャを無償提供
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/3/
アジアを中心に起きたネット障害,「Code Red」以来最悪のワームが原因か
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030127/4/
http://www.asahi.com/international/update/0127/006.html
やってみようという感じ、日本はやろうと言っても慎重で動きが遅い」というような
ことを言ってたけど、今回はそれが裏目に出た面もあるのじゃないかな。と思った。
DNSダウンやネットワーク麻痺と、ネットワーク構築を優先して危機管理をなおざりに
してなかったか。
世界に先駆けて警報を発してくれたという点では貢献したけど。
感染台数としてはUSAが全世界の半数近くを占めるよ。
ハンドルネームが痛すぎる
中にはハーバード大学からもあったよ。
★ネット関係に「セキュリティ板」希望★
http://teri.2ch.net/accuse/kako/984/984639842.html
初級ネットワーク板をセキュリティ板に!
http://teri.2ch.net/accuse/kako/987/987149694.html
http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html
IPアドレスを直接ランダムに生成するんじゃないの?いちいち名前解決してるわけ?
>>1
影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
影響を受けないシステム: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sqlexp.worm.html
なるほど。ありがとう。
よく見つけてきたね。
このスレの創設要望者の1は>>1かもしれないが
http://teri.2ch.net/accuse/kako/984/984639842.html
これらの名称変更希望スレの1は私だ。でも、昔の話だな。
http://mentai.2ch.net/hack/kako/987/987151318.html
http://teri.2ch.net/accuse/kako/987/987149694.html
ナツカシーナ
http://www.ipa.go.jp/security/ciadr/vul/20030126ms-sql-worm.html
(2003-01-28 02:33:33)INFO : TCP from:210.151.214.30 to***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:32:33)INFO : TCP from:210.151.214.30 to***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:45)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:21)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:10)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:07)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:04)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:01)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
(2003-01-28 02:31:01)INFO : TCP from:210.151.214.30 to:***.***.***.*** src port:80 dest port:1434 Match a static filter rule and discard packet.
ブラザーから来たよ・・・・
210.151.214.30=br-serv2.brother.co.jp=www.brother.co.jp
これが来るちょっと前にブラザーのサイト行ったんだがそれが原因で来たの?
∧_∧
∧_∧ (´<_` ) 俺はやってないよ、兄者
( ´_ゝ`) / ⌒i
/ \ | |
/ / ̄ ̄ ̄ ̄/ |
__(__ニつ/ FMV / .| .|____
\/ / (u ⊃
誰か貼るんじゃないかとオモタYO!
あれ、よく見るとTCPで来てるのね、、、UDPだよね?本来。一応TCPもフィルタリングしといたんだけど。
自分は全然詳しくないからアホなこと言ってるのかな・・・・
無知な私に教えてください。
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030128/6/
http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20030128/4/
本セキュリティ情報を再告知いたします。本セキュリティ修正プログラムを
適用することで感染を防ぐことが出来ます。
SQL Slammer に関する最新の情報は、次のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp
MS02-039 に関する最新の情報は、次のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms02-039.asp
情報の内容に変更はありません。
>>21 にMSDE用のSP3は無いとありましたが
http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp
ここを見るとSP3があるようなので、あてようと試みました。
まずこの74MBのファイルをDL,展開
しかし setup.exeを実行しても、インスタンスが違うといったエラーが
出てパッチがあたりません。
オプションも色々出ていて試してみたのですが、上手くいきませんでした。
MSDE自体はOfficeXP Proの添付してあるものを使用しています。
標準でインストールしたので、インストールディレクトリは
C:\SQLEVAL です。
どなたか、引数の設定方法教えていただけないでしょうか?
添付のドキュメントすごい分かりづらいのですが。。。
よろしくお願いします。
srcが80になってるぞ...
と称する某県の公的団体(知事が理事長)の解説です。
http://www.joho-nagasaki.or.jp/virus/SQLSlammer/sqlslammer.html
このワーム中小企業で延々と生き残りそうな気が・・・
なんだかえらく手抜きっすね、そこって。
そゆ浣腸とかお役所とか企業のって、内部向けってことで手を抜いてるんでしょか。
今時、「OEでプレビューするとウイルスに感染しる!」って啓蒙してるとこもあるし。
中小企業で生き残り説は、同意っす。
最初の分からして
「このウィルス(ワーム)は「Windows2000」の「SQL」というデータベースソフトの脆弱性を利
用して、サーバを停止させたり、サーバの機能を低下させたりします(データのバッファオ
ーバーにより)。」
って具合に支離滅裂。酔っ払って書いてるのかyo、って感じです。
Symantecとかのワクxンダーでも、SQLサーバーの記述しかなくて、昨日あたりからMSDEの記述が追記されたんだし。
SQL?関係ないやん(きゃは!、ってお方が居ても、不思議はないかと。
まぁ、どっかで見た文章をそのままコピペしてるんでしょう。
やばげなvilliが流行したら、マメに情報チェック、これ常識。
>http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030128/4/
この手の報告件数で判断するような文化は衰退してほしいものだ。
http://lobby.up-loader.net/uploader/source/up0019.png
Nimdaと同様、大方の管理者が対策を取ったものの一部のセキュリティに無関心な
人間により被害が根絶しない状態、いわばワームの安定期に入ったようだな∠(´Д゚)┌
>>76 のヴァカ情報機関でも
>またWindows2000以外のサーバの被害も報告されていません。
って逝ってるけど感染の危険性が大きいしので予防するという発想がないのかネ
人が死なないと柵が出来ないお役所仕事もいいとこだ
>>76 を読むとWindows2000のサーバー以外では関係ないように書いてるが、
有害情報(゚д゚)ってこんなことを言うんだろうね
表示されないだろう。
かえって有害な情報かも。
SQL Serverは今後も狙われる,対症療法にとどまるな
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20030128/1/
世界同時ネット障害ウイルスの正体
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030129/1/
うちだけ?
マルチ(・A・)イクナイ!
> MSDE2000 を XPProで使用しています。
> >>21 にMSDE用のSP3は無いとありましたが
> http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp
> ここを見るとSP3があるようなので、あてようと試みました。
> まずこの74MBのファイルをDL,展開
> しかし setup.exeを実行しても、インスタンスが違うといったエラーが
> 出てパッチがあたりません。
> オプションも色々出ていて試してみたのですが、上手くいきませんでした。
> MSDE自体はOfficeXP Proの添付してあるものを使用しています。
> 標準でインストールしたので、インストールディレクトリは
> C:\SQLEVAL です。
> どなたか、引数の設定方法教えていただけないでしょうか?
> 添付のドキュメントすごい分かりづらいのですが。。。
> よろしくお願いします。
http://support.microsoft.com/?scid=kb;ja;813850
運用って案外に多いんだ。
今回のすらま虫より流失の方が心配。。。
解りやすい内容ですた
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
最強のPCセキュリティーコンボ (274)
【ノートン】ノートン社員の荒らしについて (674)
ID制導入を希望するか否か議論するスレ (866)
ProcessGuard Part3 (810)
ファイアーウォールなんて必要ありません (558)
【オープンソース】ClamWin Antivirus part2【フリー/クラウド】 (212)
--log9.info------------------
【TDL】東京ディズニーランド現地報告174 (624)
TDRでキャストになるには?Part39 (355)
ディズニーヲタの病んだHP・パート36 (506)
【TDL/TDS】TDR教えてちゃん集まれ! 94 【質問】 (409)
【TDR】東京ディズニーランドホテル 13泊目 (500)
【TDR】震災関連スレッド Part1 (391)
ユニバーサルモンスターライブロックンロールショー vol.26 (830)
【キャラが】USJの問題点とその改善点@2【多いね】 (769)
【懺】日本元気劇場【レオマ】 (454)
【TDL/TDS】東京ディズニーリゾート混雑予想スレ21 (422)
USJハリーポッターエリア誕生2 (239)
《テーマパーク宣伝部 8》 (886)
ハウステンボス Part19 (981)
☆TDR☆★ シェフ・ミッキー ★☆11皿目☆ (600)
■■三鷹の森ジブリ美術館■宮崎駿■■ (319)
母娘■■お母さんとディズニー■■母息子 (201)
--log55.com------------------
クラウドってどうよ?4提案目
トッパンフォームズサービスってどうなのよ?5
画像修正&色調補正の(終わりの無い)旅-3巡目
大日本印刷DNP社内恋愛について
【怪談?】深夜残業中にコワー((( ;゜Д゜)))
今までで一番すごいミス *総領の甚六*
五七五 最後は必ず 「もうだめぽ(´・ω・`)」inDTP
【インキ】印刷のお供東洋インキ【インク】