Hi!
Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung:

""SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic

Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit für massives Traffic-Aufkommen.

Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.

SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.

Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schädling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic.

Toralv Dirro vom Antiviren-Unternehmen Network Associates sieht den Schädling als einen der gefährlichsten Würmer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeinträchtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhöhten Traffic ausgefallen." Wegen der schnellen Verbreitung können AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schädling sich ursprünglich ausbreitete.

Network Associates will in Kürze ein Stand-Alone-Tool zur Verfügung stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend überprüfen, ob der oben erwähnte Patch aus dem Microsoft Security Bulletin MS02-39 eingespielt ist. (pab/c't)""

Link: http://www.heise.de/newsticker/data/pab-25.01.03-000/

Gruß!
MyThinkTank (heise.de macht schlau )

Tja, da bin mal von AVK gespannt, ob es die versprochenen "Emergency Updates" geben wird.

Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet. Meine Frage ist jetzt, was ich bei meiner TinyPersonalFirewall 2 unter "remote Endpoint" auswählen muss?
Address Type:
- any address
- single address
- Network/Mask
- Network/Range
- Custom Address Group
Port Type:
- Single Port
- Any Port
- Prot/Range
- List of ports

Was ist da nun richtig?

ciao, Cyber

[ 26. Januar 2003, 11:37: Beitrag editiert von: CyberFred ]

Hi,

</font><blockquote>Zitat:</font><hr />
Block incoming UDP 1434 at your firewall.
</font>[/QUOTE]Über welchen Port er vom infizierten System kommuniziert weiß ich nicht. Da sind aber über den "well known Ports" (0 - 1023) eine ganze Reihe möglich. Und IP's einzutragen ist sinnlos, klar...oder? Also Any bei beiden.

Diese Regel sollte reichen s.u.. Wenn es Dir dann besser geht. Denn nur die ungepatchten M$-Server sollten imo betroffen sein.

</font><blockquote>Zitat:</font><hr />SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. </font>[/QUOTE]

piet

Ihr habt aber schon gelesen, dass herkömmliche Systeme nicht betroffen sind, oder?

@ IRON:
Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!
gleich wie code-red!

grüsse,
Mario

</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:
Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!</font>[/QUOTE]und ich dachte es sei ein M$-sql-server wurm...

.cruz

</font><blockquote>Zitat:</font><hr /> Tja, da bin mal von AVK gespannt, ob es die versprochenen "Emergency Updates" geben wird. </font>[/QUOTE]Wird es nicht geben, weil der Wurm nur im Arbeitsspeicher existiert und nicht auf einem Datenträger. Somit ist ein "normaler" AV-Scanner machtlos. Ein Reboot dagegen reinigt das System.

</font><blockquote>Zitat:</font><hr /> Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet. </font>[/QUOTE]Eine solche Regel ist ziemlich sinnlos, wenn man keinen SQL-Server laufen hat. In dem Fall kann dir doch sowieso nix passieren - ob mit oder ohne Firewall. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:
@ IRON:
Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!gleich wie code-red!</font>[/QUOTE]snooby, snooby...LIES DOCH BITTE MAL MEINE FRAGE.

Und schlag mal im Duden unter Rhetorisch nach. [img]graemlins/aplaus.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung...</font>[/QUOTE]Oooch, die gabs gestern um die Zeit auch schon

</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred:
Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet.</font>[/QUOTE]Welchen mySQL-Server hast Du denn laufen?

Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!

</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT:
Welchen mySQL-Server hast Du denn laufen?

Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!</font>[/QUOTE]Wenn ich dir jetzt noch sage, dass ich sogar angefangen habe mir das SP3 dafür zu ziehen... [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img]

ciao, Cyber [img]graemlins/aplaus.gif[/img] [img]graemlins/heilig.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT:
Welchen mySQL-Server hast Du denn laufen?

Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!</font>[/QUOTE]Nope. Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

@beastie:

mySQL != Microsoft

MS SQL == Microsoft

</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid. </font>[/QUOTE]Und nicht wirklich überraschend, oder?

Gruß,
Cassandra

@Cassandra

Nicht wirklich!

Der/die/das - &gt; The Patch gegen die Sicherheitslücke existiert allerdings schon länger, Admins wurden gebeten, dieses 'immediately' zu installieren.
Wenn Otto-Normal-User sich nicht um Sicherheitspatches von Microsoft kümmert, kann ich das irgendwie noch verstehen. Aber Leute, die einen Server betreiben, sollten sicherheitsrelevante Patches wirklich ernst nehmen. Von daher gebe ich MS diesmal nur 30% der Schuld an diesem Schlamassel.

Inwieweit haften Admins einklich bei ungepatchten Systemen?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie