SQLsnake, il worm che scandisce la Rete alla ricerca di istanze del Microsoft SQL Server protette da password banali, sembra incrementare ogni giorno la propria attività. Comincia a diffondersi il timore di un nuovo periodo nero, analogo a quelli provocati lo scorso anno da CodeRed e Nimda.
[ZEUS News - www.zeusnews.it - 30-05-2002]
SQLsnake, alias Spida, o Digispid: ecco il nuovo spauracchio di amministratori ed esperti di sicurezza, del quale ci siamo occupati alcuni giorni fa. Le previsioni riguardanti una sua probabile espansione si sono rivelate esatte e autorevoli statistiche lo additano quale worm più attivo in Rete: gli accessi alla porta tcp 1433 alla ricerca di istanze di SQL Server prive di password adeguate per l'account amministrativo hanno infatti superato, in diverse aree geografiche, quelli alla porta 80 (comunemente utilizzata dai web server) effettuati da CodeRed e Nimda all'attacco di istanze di IIS ancora vulnerabili.
Il worm, una volta ottenuto il controllo di un server, lo utilizza come base per individuare altre macchine attaccabili: l'incremento del traffico di rete è esponenziale e potrebbe portare intere LAN e tratte di Internet al collasso, come già accadde proprio con CodeRed e Nimda, precursori nell'utilizzo di tale strategia di diffusione.
Ma vi è anche un altro valido motivo per temere SQLsnake: esso spedisce i database di password reperiti sui computer colpiti ad un indirizzo email controllato, assai probabilmente, dal suo autore. Perciò, nonostante il worm non esegua azioni distruttive sulla macchina, esserne vittime rappresenta comunque un gravissimo problema dal punto di vista della sicurezza: chi rilevasse di avere subito un attacco dovrà pertanto cambiare tutte le password gestite sulla macchina, oltre, naturalmente, a quella dell'account amministrativo di SQL Server.
La presenza del virus su un server è facilmente rilevabile dall'appartenenza dell'account "guest" al gruppo degli amministratori: una configurazione, questa, che nessun amministratore assennato potrebbe neppure concepire. Esso, inoltre, crea numerosi files nella directory windows/system32: un elenco completo, insieme con dettagliate istruzioni per la rimozione di SQLsnake, è disponibile su www.incidents.org.
Attenzione: a partire dalla versione 2000, Microsoft Access porta con sè, come add-on, una versione "light" di SQL Server: qualora venga installata, l'utenza amministrativa è, per default, priva di password. Al riguardo, potrà essere utile l'attenta lettura di un documento pubblicato dalla setssa Microsoft.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|