SQLsnake, è allarme

SQLsnake, il worm che scandisce la Rete alla ricerca di istanze del Microsoft SQL Server protette da password banali, sembra incrementare ogni giorno la propria attività. Comincia a diffondersi il timore di un nuovo periodo nero, analogo a quelli provocati lo scorso anno da CodeRed e Nimda.

[ZEUS News - www.zeusnews.it - 30-05-2002]

SQLsnake, alias Spida, o Digispid: ecco il nuovo spauracchio di amministratori ed esperti di sicurezza, del quale ci siamo occupati alcuni giorni fa. Le previsioni riguardanti una sua probabile espansione si sono rivelate esatte e autorevoli statistiche lo additano quale worm più attivo in Rete: gli accessi alla porta tcp 1433 alla ricerca di istanze di SQL Server prive di password adeguate per l'account amministrativo hanno infatti superato, in diverse aree geografiche, quelli alla porta 80 (comunemente utilizzata dai web server) effettuati da CodeRed e Nimda all'attacco di istanze di IIS ancora vulnerabili.

Il worm, una volta ottenuto il controllo di un server, lo utilizza come base per individuare altre macchine attaccabili: l'incremento del traffico di rete è esponenziale e potrebbe portare intere LAN e tratte di Internet al collasso, come già accadde proprio con CodeRed e Nimda, precursori nell'utilizzo di tale strategia di diffusione.

Ma vi è anche un altro valido motivo per temere SQLsnake: esso spedisce i database di password reperiti sui computer colpiti ad un indirizzo email controllato, assai probabilmente, dal suo autore. Perciò, nonostante il worm non esegua azioni distruttive sulla macchina, esserne vittime rappresenta comunque un gravissimo problema dal punto di vista della sicurezza: chi rilevasse di avere subito un attacco dovrà pertanto cambiare tutte le password gestite sulla macchina, oltre, naturalmente, a quella dell'account amministrativo di SQL Server.

Si tenga presente che, contro SQLsnake, una password amministrativa forte può rappresentare una difesa efficace, soprattutto quando ci si preoccupi anche di confinare all'interno della propria rete locale il traffico TCP verso la porta 1433. Inoltre, è bene bloccare tutta la posta diretta a ixltd@postone.com, l'indirizzo a cui il worm spedisce le password.

La presenza del virus su un server è facilmente rilevabile dall'appartenenza dell'account "guest" al gruppo degli amministratori: una configurazione, questa, che nessun amministratore assennato potrebbe neppure concepire. Esso, inoltre, crea numerosi files nella directory windows/system32: un elenco completo, insieme con dettagliate istruzioni per la rimozione di SQLsnake, è disponibile su www.incidents.org.

Attenzione: a partire dalla versione 2000, Microsoft Access porta con sè, come add-on, una versione "light" di SQL Server: qualora venga installata, l'utenza amministrativa è, per default, priva di password. Al riguardo, potrà essere utile l'attenta lettura di un documento pubblicato dalla setssa Microsoft.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Stefano Barni - Quelli di Zeus

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(15 commenti) FiberCop torna indietro sullo smart working	News(11 commenti) Perso per sempre il codice sorgente di Fallout

Sicurezza(9 commenti)

Blackout in Spagna, gli hacker non la raccontano giusta

News(10 commenti)

Duolingo rimpiazza i consulenti a contratto con la IA

News(11 commenti)

Windows Recall è ora ufficialmente disponibile

News(9 commenti)

Meta sotto accusa: la sua IA fa sexting coi minori

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

L'auto che si guida da sola

L'auto che si guida da sola... (completa la frase)

	ci permetterà di sfruttare il tempo perso guidando, magari in coda.
	ci toglierà l'ultimo brandello di privacy.
	ci farà viaggiare più sicuri.
	ci esporrà a nuovi pericoli, dovuti ai bug o agli attacchi degli hacker.
	ci consentirà di ridurre l'inquinamento.
	ci priverà dell'autonomia.
	sarà accettabile solo se ci permetterà sempre di scegliere la guida manuale.
	sarà sicura solo se non permetterà mai la guida manuale.