SQL 2000´de bir açık, Turkiye ISP´lerinin birçoğunu esir aldı

0
sundance
sundance
25 Ocak 2003 , 1 dakika okuma süresi
Cumartesi saat 12:20 itibari ile, BNet ve Doruk %100 down! Sebep olarak MS SQL 2000 sunucularının bir açığını kullanan nimda benzeri bir worm´dan bahsediliyor. TTNet´in kesintileri ve depremden sonraki en büyük kesintilerden biri bu

Yeni slogan ´MS SQL 2000 kullanın rahat edin. Ne downtime sınırları, ne hizmet garantisi, aşın hepsini!´

Not:1453 numaralı portu reject etseler de olurdu :) Diğer ISP´lerden de haber aldıkça yayınlayacağız...
Güvenlik
49
Linkedin Facebook Twitter Google plus

Görüşler

nirvana
0
nirvana
güzide üniversitelerimizden itu(itu.edu.tr) de ortalıklarda yok..
anonim
0
anonim
Guzelim sen itu.edu.tr diye yanlis adrese bakmissin.

gulsumsaglamer.COM.tr´a bak, up and running, profitably :)
anonim
0
anonim
yildiz teknik sql server kullanmiyor ama her daim down :-)
anonim
0
anonim
Millet, sanırım bayağı bir adminin başı ağrıyacak.
Gamyun.net down (SQL kullanıyorlar)
itu.edu.tr down (SQL kullanıyorlar)

anonim
0
anonim
www.doruk.net.tr adresinde yeterli açıklama var
anonim
0
anonim
http://www.ulakbim.gov.tr/servisler/istatistik/snmp/itu-gsr-atm1.uhtml
http://web3.ttnet.net.tr/mrtg/istjun1.htm

Herne kadar isim yazmasa da bazi ISP´lerin tepetaklak oldugu gozukuyor.

Oh olsun, kötü yazılım kullananlara :p
anonim
0
anonim
www.doruk.net.tr de konu hakkında açıklama var
anonim
0
anonim
vitamini kabuğunda derler ya, o tarz birşey bu da.
anonim
0
anonim
abi adamlar sql server kullanirken, personellerine egitim aldirsalar boyle olmazdi.
cayfer
0
cayfer
Niye? MSSQL egitimlerinde MSSQL kullanmayin mi diyorlar?
anonim
0
anonim
Ne alaka..

MSDBA vs. egitimlerinde papagan gibi Patch'lari ihmal etmeyin denir durur. Bu haber ./ gorunce, oturup surdaki XP'ye MSSQL 2K ve SP'lerini yukledim. Dahasi MS'nin pathc'ini da. Oturup bekledim, 15 dk surdu UDP'yi yiyip kafa ustu gitmesi.

Tek cozum Firewall'dan (varsa) 1434'ncu portu kapatmak. Yoksa gerisi hikaye. Sizce ITU, BNET vs. adminleri bu devirde SP/Patch vs. yapmayi beceremeyen, AutoUpdate'i kapatmayi seven tipler mi ?

2001 CodeRed vakasi.. 2003 MSSQL Vakasi. Istatistiklere veya CNN'in haberlerine bir bakin. NET Felc olmasada eli kolu bir hayli kirilmis durumda. Gates sagolsun yeter, degil mi ?


anonim
0
anonim
Haa, bu arada XPEEE'ni firewall'ini 1434/UDP BLOCK olarak ayarladik, gene gitti server kafaustu..

Vesselam, XP ile gelen firewall'e guvenmek, kuzularin guvenligi icin kurtlara guvenmek gibi bir sey oluyor sadece..
anonim
0
anonim
Durun, durun..

SP3 Problemi cozuyormus. Download it... Install it:

This software has not passed Microsoft Logo Testing and will not be installed.

Ne demek simdi bu yaa.. Dogrusu, 8 perdelik bir komedi ancak bu kadar olabilir..

Valla dogrusu, iki-uc yerde, LOGO kullanmak icin SQL-2000 kullaniyorlar. Adamlar kiralik hatla bagli. Koca koca marketlerin subeleri. Bugunku zararlarini herhalde 'Illa ki MS-SQL alacaksiniz' diyen LOGO veya Bill Gates karsilar. Allah'tan, ben zamaninda 'Linux uzeirne ORACLE kuralim' demistim.. Yirttim vallahi..



anonim
0
anonim
Sorun ISP lerde server barındıranlarda ISP lerin cogu pachlerini yüklemişti zaten.. Isp lerde server barındıran bazı kişilerin tedbirsizliği.
anonim
0
anonim

Sanirim www.celik.net.tr de bu yuzden down ...

Kendimize gelelim admin(imsi) beyler
murat09
0
murat09
herkese spam posta gondererek berbat sitelerinin reklamini yaparken iyi oluyordu. Oh olsun. AllahIn sopasi yok diye bosuna dememisler :-)
anonim
0
anonim
tam kafamdan gecenleri soylemissin :)
roots
0
roots
adminlerin bir suçu yok. Çünkü virüs olsa da olmasada bulaşmasada trafiği şişirdiğinden ulaşımı engelliyor. suç adminlerin degil :)
sql i yada virüsü yazanların
anonim
0
anonim
zamanında patchleri takip edip yükleyenlerde sorun olmadı.
cayfer
0
cayfer
Sadece Tr.deki ISPler degil, dunyada pek cok yer fena cokmus. Bu worm''un bulastigi iki MS-SQL sunucu karsilikli birbirlerini SQL-Ping''lemeye basliyormus. Trafik de geometrik dizi olarak artiyormus.
Gene ortalik birbirine girdi, gene sahnede Micros~1! Bir de dedikleri gibi kodlarinin bir bolumunu acarlarsa iste o zaman mahvolduk.
anonim
0
anonim
Bu bilgiyi nereden aldiniz, kaynak gösterebilir misiniz?
cayfer
0
cayfer
Bu adreste worm kodunun disassemble edilmis hali var. Ayrica Slashdot.org'ta dunyanin bir cok yerinden gelen cokme haberlerini gorebilirsiniz.

http://www.boredom.org/~cstone/worm-annotated.txt
281817 181476855250691 6784756 n
0
tongucyumruk
/. olabilir mi? (Sadece tahmin)
cayfer
0
cayfer
Slashdot'daki bir mesaja gore ABD'deki FoxNews haber TV kanalinda altyazi olarak

The virus spreads using a Microsoft vulnerability known as SQL Server

lafi geciyormus!
oktay
0
oktay
Virus'e verilen isimlerden biri *SQ hell*
murat09
0
murat09
Bu konuyla ilgili DorukNette bir haber var. (Kendilerinin de etkilendigini nedense soylemiyorlar)

Bu gercekten cok ciddi bir fIrtIna kopardI sanIrIm. Otomasyon projemiz icin ön-etud yapIyordum, acep hanki platformda olmalı datalar diye, su anda hangisini secmeyecegime karar vermis bulunuyorum.
Img 5856
0
conan
snort ile bir saat boyunca network komsulugumuzdaki butun mssql trafigini loglayacagim, bakalim neler oluyor :) datalari online acarim, izlersiniz ;)
HoLY
0
HoLY
bu sabaha karsi yarim saat icinde 500 un uzeridne hit aldim port 1434 den noluyoz dedimki olay buymus:)
HoLY
0
HoLY
http://www.eeye.com/html/Research/Flash/AL20030125.html
anonim
0
anonim
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp


slashdottan bir quote>
Kevin Mitnick is allowed back on the net and the net goes fubar
cayfer
0
cayfer
SQL-Slammer''''in yaptıklarını dün hep birlikte izledik. Bir sürü insan MS''''i suçladı; bir o kadarı da ağ yöneticilerini suçladı.

Bu olayda ben şahsen Micros~1''''a kabahat bulmuyorum. Uzun süre önce adamlar yamasını yayınlamışlar. Bence kabahat SQL sunucularını dünyaya açanlarda; daha doğrusu default policy olarak DENY kullanmayan ağ yöneticilerinde ve yamaları zamanında yapmayan veritabanı yöneticilerinde.

Buna rağmen MS''''in bu olayla ciddi bir yara daha aldığını düşünüyorum. Keşke elimizde olanak olsa da MySQL ve PostgreSQL ftp sunucularındaki trafik istatistiklerini görebilsek. Eminim bir sürü dba bu yazılımları ciddi ciddi düşünmeye ve değerlendirmeye başlamıştır. Bir de Oracle ve IBM''''in önümüzdeki haftalardaki reklam sloganlarını merak ediyorum doğrusu.

Bu olaya, bana göre, en ilginç tepkilerden biri bnet.net.tr sayfasında yer alıyor.

Bu saldırı sonucu, tüm hatlar aşırı yoğunluk nedeniyle kullanılamaz hale gelmiş durumda.

diyorlar. Doğrusu tüm hatlarımız olmalıydı sanırım. Gene ağlarda meydana gelen arızalar nedeniyle çözümünü tüm sunuculara uygulanması oldukça yavaş ve zor sağlanabilmektedir. cümlesini de yadırgadım.

Slammer''''ın yol açtığı aşırı trafiği kesmek çok kolay olmalıydı. Uzun süren kesintilerini, sanki kendi kabahatleri değilmiş gibi bir tavır takınarak açıklamaya çalışmaları hoş gelmedi bana.

Dün gün boyu gazetelere ve sık kullandığım servislere bağlanmakta pek sorun yaşamadım (haberturk hariç). FM''''yi zaten gün boyu kullandık. Slashdot keza. Duyduğuma göre bir süre MSN e-posta servisleri calışmamış. Bank of America''''nın ATM makinaları çalışmamış ama genel olarak Net ayaktaydı. Birkaç root DNS sunucu gittiği için DNS çözümlemede gerçekten sorunlar oldu ama genellikle reload ile düzeliyordu.

Ayrıca spam gönderen sunucular bu olaydan hiç etkilenmemiş gibiydi.

Dün neler olduğunu en iyi gösteren (daha doğrusu özetleyen) sayfalardan biri matrix.

anonim
0
anonim
http://www.eeye.com/html/Research/Tools/RetinaSapphireSQL.exe
anonim
0
anonim
> Bu olayda ben şahsen Micros~1''''a kabahat bulmuyorum. Uzun süre önce adamlar yamasını yayınlamışlar.

Bekle... Yukarıları hiç okumadın galiba. MS, SP2 ile bunu çözdüğünü söylüyor ama o yamada etkileniyor. Cozumu henuz bir haftalik SP3 veya 15 gunluk bir yama. Dahasi bunlar AutoUpdate ile yapilamiyor. Diger yandan bu yamalarda, Win 2003 Server kullaniyorsaniz, yuklenemiyor.

SP2'nin cozdugu sorun baska. Bu ayni acigin farkli bir turevinden kaynaklaniyor.

Diger taraftan SP3'te kullansaniz da, 2 baytlik bir UDP paketi ile MS-SQL'i cokertebiliyorsunuz.
anonim
0
anonim
Microsoft un daha evel cıkardığı bir patch olduğu için sanırım hata microsoftta değil patchleri iyi takip etmeyip gereksiz bulanlarda. Suçlu aramak kolay suçun kendinizde olduğunu kabul etmek zor olan.
elrond
0
elrond
Neyin hatası kimin hatası; üzerinde güvenlik patchi olmayan bir DB söyleyinde onu kullanalım.
murat09
0
murat09
Sayin arkadasim, lutfen sizden sadece buradaki tarihe bakmanizi rica ediyorum. Kimse yogurdum eksi demiyor ama en azIndan bilmeden yorum yapmasanIz daha iyi olur. Bilgi de FM yaparak kazanIlIr. MS SQL2000 sunucu kullanan bir firma ile bugun gorustum, daha bu worm attack tan haberleri yoktu. Dilerim sistemleri etkilenmez (burda isi Allaha havale ediyoruz tabi dogal olarak!). YazIk ki MS e iman etmeyi alternatiflerini arastIrmaya tercih edecek kadar kolay bulan kisiler hala var, yazIk. Budur. Saygilar.
murat09
0
murat09
DipNot olarak: buradaki kasIm02 tarihli hatadan sistemlerin etkilenmeyecegi belirtilmis yazIda, daha SP1 den haberi olmayan saygıdeger adminlerimizin de bundan nasIl haberi olacaktIr ayri bir konudur. nerde musteri destegi, nerde lisanslara odenen binlerce dolarin hakedilmesi.. nerde....
FZ
0
FZ
Meşhur SQL katilinin ;-) assembly kodunu görmüşsünüzdür sanırım. Aynı işi yapan Perl kodu da burada.
Img 5856
0
conan
FZcugum, o perl kodu degil, olsa olsa assembly kodu calistiran bir perl programi. Asil kod yine assembly icinde :)
281817 181476855250691 6784756 n
0
tongucyumruk
Hmm
serbest çağrışım mode on:
Gerçek programcılar her dilde assembly kodu yazabilirler

Larry Wall
serbest çağrışım mode off.
FZ
0
FZ
perlmonks.org tapınağındaki rahiplere haber verdim hemen bir arkadaşı yollayıp seni ikna etme çalışmalarına başlıyorlar :-P
FZ
0
FZ
Konu ile ilgili daha detaylı bilgi için:

http://www.digitaloffense.net/worms/mssql_udp_worm/NOTES.TXT

http://www.nextgenss.com/advisories/mssql-udp.txt
FZ
0
FZ
Sistem yöneticilerine çok laf edildi, kardeşim MS o kadar patch çıkarmış vakti zamanında, sistemlerinizi bir güzel bu yamalarla yamasaydınız
ya işiniz ne!

Bu işin o kadar basit olmadığı aşağıdaki haberden de görülebilir. Görülen o ki Microsoft´un sistem admin.leri de bu konuda biraz (!) zorlanmışlar ;-)

(Bu arada, bu haberin olduğu web sayfasında, haberin hemen üstünde tahmin edin hangi firmanın reklamı var... ORACLE tabii ki :-P )

-----------------------------------------------
The New York Times, 28 January 2003
-----------------------------------------------
Worm Hits Microsoft, Which Ignored Own Advice
By JOHN SCHWARTZ

The frantic message came from the corporation´s information technology workers: `HELP NEEDED: If you have servers that are nonessential, please shut down.´

The computer system was under attack by a rogue program called SQL Slammer, which affected servers running Microsoft software that had not been updated with a patch issued months ago to fix the vulnerability. The worm hindered the operations of hundreds of thousands of computers, slowed Internet traffic and even disrupted thousands of A.T.M. terminals.

But this wasn´t happening at just any company. It was occurring at Microsoft itself. Some internal servers were affected, and service to users of the Microsoft Network was significantly slowed.

The disruption was particularly embarrassing for Microsoft, which has been preaching the gospel of secure computing. On Jan. 23, the company´s chairman, Bill Gates, sent a memo to customers describing progress in improving its products since he announced a `trustworthy computing´ initiative a year ago.

`While we´ve accomplished a lot in the past year, there is still more to do,´ he wrote. He cited the hundreds of millions spent to shore up Microsoft´s products, and its plans to deliver more secure products in the future. He also listed `things customers can do to help.´ The first item was `stay up to date on patches.´

The paradox was not lost on computer security experts. `Microsoft has been blaming the users, saying they have to keep their patches up to date,´ said Bruce Schneier, founder and chief technical officer of Counterpane Internet Security Inc., a company that manages security for customers. `On the other hand, their own actions demonstrate how unrealistic that position is.´

A spokesman for Microsoft, Rick Miller, confirmed that a number of the company´s machines had gone unpatched, and that Microsoft Network services, like many others on the Internet, experienced a significant slowdown. `We, like the rest of the industry, struggle to get 100 percent compliance with our patch management,´ he said.

`We recognize now more than ever that this is something we need to work on. And, like the rest of the industry, we´re working to fix it.´
sametc
0
sametc
Sabah gazetesi okuyanlar Hıncal ulucun yazısını okuyanlar bilir hıncal ulucun yazısını aynen yazıyorum:bir bar barı her gece basıyorlarmış maskelerle sabah yine bir mafya geliyor sizi kurtaralımmı diye soyluyorlar yani bu mafya gece o barı basan mafya imiş gece maskeyle soy sabah ise sizi kurtaralımmı diye uyarıyorlar evet sonuçta bu işten microsoft kar etcek acaba microsoft mu yapıyor bunları Hıncal abide anlamış bunları gercekten boyle komplo varmıdır bilmiyorum ama neden olmasın
sametc
0
sametc
Sabah gazetesi okuyanlar Hıncal ulucun yazısını okuyanlar bilir hıncal ulucun yazısını aynen yazıyorum:bir bar barı her gece basıyorlarmış maskelerle sabah yine bir mafya geliyor sizi kurtaralımmı diye soyluyorlar yani bu mafya gece o barı basan mafya imiş gece maskeyle soy sabah ise sizi kurtaralımmı diye uyarıyorlar evet sonuçta bu işten microsoft kar etcek acaba microsoft mu yapıyor bunları Hıncal abide anlamış bunları gercekten boyle komplo varmıdır bilmiyorum ama neden olmasın
FZ
0
FZ
Hıncal Uluç'un ismi ile burada karşılaşmak biraz üzücü tabii ;-)
sametc
0
sametc
neden sen galatasaraylımısın yoksa futbolla alakalı değilmi galatasarrlı değilmisin ben fanatik bjklıyım ama bu yazı beni şaşırttı!!!!
her zaman her yerde en buyuk kartal!!!
Nightwalker
0
Nightwalker
MICROSOFT’TAN AÇIKLAMA

Microsoft, 25 Ocak 2003 tarihinde Web sitelerini etkileyen solucan saldırısının ardından gerekli incelemeleri acilen başlatmıştır. İncelemeler sonucunda solucanın, 2002 yılı Temmuz ayında Microsoft’un tespit ettiği ve önlem olarak gerekli yamaları yayınladığı bir açığı kullandığı anlaşılmıştır. İncelemelerde ayrıca, solucan saldırısının SQL Server 7.0 versiyonunu ve kişisel ev kullanıcılarını etkilemediği ortaya çıkmıştır. Temmuz ayında yamanın yayınlanmasının dışında, yakın zamanda piyasaya sunulan SQL Server 2000 Service Pack 3’te (SP3) ise gerekli güncellemeler yapılmıştır.

Şu gördüğünüz microsoftun bu konudaki açıklaması.
Bu konu tartışıldı ama eğer yazılanlar doğruysa bu defa fazla kabahatlari yok gibi ???

FZ
0
FZ
Buradaki habere göre SQL Slammer isimli zararlı yazılım İngiliz programcı David Litchfield´in vakti zamanında ilgili SQL Server açığını göstermek için yazmış olduğu ve 2002 Ağustos´undaki Black Hat brifinginde sergilediği kodun nerede ise aynısı.

Litchfield, konu ile ilgili olarak Microsoft´u bilgilendirdikten ve Microsoft da gerekli `patch´i çıkardıktan sonra söz konusu kodu açıkladığını belirtiyor.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Apache.org un başına gelenler
conan
2 Haziran 2001, 1 dakika okuma süresi

Mayıs ayının ortalarında Apache Software Foundation (ASF) halka açık serverlarından birisi hack edilmiş. Bu server bütün maillistleri, web servisleri ve işin kötüsü Apache'nin bütün kaynak kodlarını tuttuğu servermış.

Server'ı bir süre elinde tutan şahısın Apache`nin binary sürümlerinden bir yada bir kaç tanesini backdoor'lu olan kendi versiyonu ile değiştirmiş olmasından endişe ediliyor.

Distributed Denial of Service´a (dDoS) karşı nasıl bakakalınır?
conan
21 Haziran 2001, 1 dakika okuma süresi

Steve Gibson, Gibson Araştırma merkezinin güvenlikten sorumlu elemanı(Soyadından çıkardığım kadarıyla da kurucusu olabilir), sayfasında 4 Mayıs 2001 günü grc.com sitelerine yaşadıkları dDoS saldırısını en ince ayrıntılarına kadar anlatmış. Bir sistem yöneticisi ve saldırıyı an an yaşayan `güvenlik görevlisi`nin bakış açısından saldırıyı bu linkten okuyabilirsiniz. Bence alınacak ilginç dersler var. Aynı yazıyı pdf formatında da indirebilirsiniz.

Ayrıca Steve'in hackerlara karşı yazdığı açık mektubu da okumanızı tavsiye ederim :)

Hangi Dağıtımın Güvenlik Açıklarına Cevabı Daha İyi?
darkhunter
6 Ağustos 2006, 1 dakika okuma süresi

SearchSecurity, genel güvenlik açıklarının yamanması konusunda, hangi dağıtımların daha başarılı ve hızlı olduğuna dair istatistiksel bilgiler vermiş.

JavaScrypt
FZ
29 Kasım 2003, 1 dakika okuma süresi

Autodesk firmasının kurucularından ve efsanevi AutoCAD programının yazarlarından biri olan John Walker, DES şifreleme standardının yerini almış olan AES´i (yani Rijndael algoritmasını) JavaScript ortamına taşıdı. Şifreleme, şifre çözme, parola cümlesi oluşturma ve steganografi işlevlerini barındıran bu JavaScript kullanımı GPL lisanslı olarak isteyen herkesin kullanımına açık.

C/C++ dururken neden JavaScript kullanayım, deli miyim divane miyim ben tepkisini verecekler ilgili sayfada usta programcının gerekçelerini okuyabilirler.

Greasemonkey Güvenlik Açığı
butch
21 Temmuz 2005, 1 dakika okuma süresi

Oldukça ilgi gören Firefox eklentilerinden biri olan Greasemonkey'in geliştiricileri tarafından yapılan açıklamaya göre, eklentide kullanıcıların bilgisayarlarında bulunan verilere erişim sağlayan önemli bir güvenlik açığı bulunuyor. Greasemonkey kullanıcılarının eklentiyi kaldırmaları şiddetle öneriliyor. Detaylar için eweek.com ve mozdev.org.