SQLsnake, è allarme

SQLsnake, il worm che scandisce la Rete alla ricerca di istanze del Microsoft SQL Server protette da password banali, sembra incrementare ogni giorno la propria attività. Comincia a diffondersi il timore di un nuovo periodo nero, analogo a quelli provocati lo scorso anno da CodeRed e Nimda.

[ZEUS News - www.zeusnews.it - 30-05-2002]

SQLsnake, alias Spida, o Digispid: ecco il nuovo spauracchio di amministratori ed esperti di sicurezza, del quale ci siamo occupati alcuni giorni fa. Le previsioni riguardanti una sua probabile espansione si sono rivelate esatte e autorevoli statistiche lo additano quale worm più attivo in Rete: gli accessi alla porta tcp 1433 alla ricerca di istanze di SQL Server prive di password adeguate per l'account amministrativo hanno infatti superato, in diverse aree geografiche, quelli alla porta 80 (comunemente utilizzata dai web server) effettuati da CodeRed e Nimda all'attacco di istanze di IIS ancora vulnerabili.

Il worm, una volta ottenuto il controllo di un server, lo utilizza come base per individuare altre macchine attaccabili: l'incremento del traffico di rete è esponenziale e potrebbe portare intere LAN e tratte di Internet al collasso, come già accadde proprio con CodeRed e Nimda, precursori nell'utilizzo di tale strategia di diffusione.

Ma vi è anche un altro valido motivo per temere SQLsnake: esso spedisce i database di password reperiti sui computer colpiti ad un indirizzo email controllato, assai probabilmente, dal suo autore. Perciò, nonostante il worm non esegua azioni distruttive sulla macchina, esserne vittime rappresenta comunque un gravissimo problema dal punto di vista della sicurezza: chi rilevasse di avere subito un attacco dovrà pertanto cambiare tutte le password gestite sulla macchina, oltre, naturalmente, a quella dell'account amministrativo di SQL Server.

Si tenga presente che, contro SQLsnake, una password amministrativa forte può rappresentare una difesa efficace, soprattutto quando ci si preoccupi anche di confinare all'interno della propria rete locale il traffico TCP verso la porta 1433. Inoltre, è bene bloccare tutta la posta diretta a ixltd@postone.com, l'indirizzo a cui il worm spedisce le password.

La presenza del virus su un server è facilmente rilevabile dall'appartenenza dell'account "guest" al gruppo degli amministratori: una configurazione, questa, che nessun amministratore assennato potrebbe neppure concepire. Esso, inoltre, crea numerosi files nella directory windows/system32: un elenco completo, insieme con dettagliate istruzioni per la rimozione di SQLsnake, è disponibile su www.incidents.org.

Attenzione: a partire dalla versione 2000, Microsoft Access porta con sè, come add-on, una versione "light" di SQL Server: qualora venga installata, l'utenza amministrativa è, per default, priva di password. Al riguardo, potrà essere utile l'attenta lettura di un documento pubblicato dalla setssa Microsoft.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Stefano Barni - Quelli di Zeus

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(4 commenti) Amazon abbandona i negozi coi cassieri a distanza	News(4 commenti) ChatGPT, da oggi l'account non serve più

News(4 commenti)

Intel e Microsoft svelano le caratteristiche degli AI PC

News(4 commenti)

Windows, la finestra per la formattazione è provvisoria da 30 anni

News(11 commenti)

YouTube, se guardi certi video finisci nel mirino dell'FBI

News(5 commenti)

Il piano Merlyn, ovvero la liquidazione di Tim

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Con quale di queste affermazioni concordi maggiormente?

	Il Governo sta facendo troppo poco per portare la banda larga anche nelle zone più remote.
	Il Governo riuscirà a migliorare la diffusione della banda larga.
	Il Governo vorrebbe fare di più per la diffusione della banda larga, ma mancano le risorse.
	Il Governo non sta facendo abbastanza per reperire risorse per la banda larga.
	Al Governo non frega nulla della banda larga a meno che qualche lobby o qualche gruppo finanziario o industriale gliela chieda; a quel punto troverà il modo di mettere una nuova tassa ai pensionati o ai lavoratori dipendenti per reperire i fondi.