SQL 2000´de bir açık, Turkiye ISP´lerinin birçoğunu esir aldı

0
sundance
Cumartesi saat 12:20 itibari ile, BNet ve Doruk %100 down! Sebep olarak MS SQL 2000 sunucularının bir açığını kullanan nimda benzeri bir worm´dan bahsediliyor. TTNet´in kesintileri ve depremden sonraki en büyük kesintilerden biri bu

Yeni slogan ´MS SQL 2000 kullanın rahat edin. Ne downtime sınırları, ne hizmet garantisi, aşın hepsini!´

Not:1453 numaralı portu reject etseler de olurdu :) Diğer ISP´lerden de haber aldıkça yayınlayacağız...

Görüşler

0
nirvana
güzide üniversitelerimizden itu(itu.edu.tr) de ortalıklarda yok..
0
anonim
Guzelim sen itu.edu.tr diye yanlis adrese bakmissin.

gulsumsaglamer.COM.tr´a bak, up and running, profitably :)
0
anonim
yildiz teknik sql server kullanmiyor ama her daim down :-)
0
anonim
Millet, sanırım bayağı bir adminin başı ağrıyacak.
Gamyun.net down (SQL kullanıyorlar)
itu.edu.tr down (SQL kullanıyorlar)

0
anonim
www.doruk.net.tr adresinde yeterli açıklama var
0
anonim
http://www.ulakbim.gov.tr/servisler/istatistik/snmp/itu-gsr-atm1.uhtml
http://web3.ttnet.net.tr/mrtg/istjun1.htm

Herne kadar isim yazmasa da bazi ISP´lerin tepetaklak oldugu gozukuyor.

Oh olsun, kötü yazılım kullananlara :p
0
anonim
www.doruk.net.tr de konu hakkında açıklama var
0
anonim
vitamini kabuğunda derler ya, o tarz birşey bu da.
0
anonim
abi adamlar sql server kullanirken, personellerine egitim aldirsalar boyle olmazdi.
0
cayfer
Niye? MSSQL egitimlerinde MSSQL kullanmayin mi diyorlar?
0
anonim
Ne alaka..

MSDBA vs. egitimlerinde papagan gibi Patch'lari ihmal etmeyin denir durur. Bu haber ./ gorunce, oturup surdaki XP'ye MSSQL 2K ve SP'lerini yukledim. Dahasi MS'nin pathc'ini da. Oturup bekledim, 15 dk surdu UDP'yi yiyip kafa ustu gitmesi.

Tek cozum Firewall'dan (varsa) 1434'ncu portu kapatmak. Yoksa gerisi hikaye. Sizce ITU, BNET vs. adminleri bu devirde SP/Patch vs. yapmayi beceremeyen, AutoUpdate'i kapatmayi seven tipler mi ?

2001 CodeRed vakasi.. 2003 MSSQL Vakasi. Istatistiklere veya CNN'in haberlerine bir bakin. NET Felc olmasada eli kolu bir hayli kirilmis durumda. Gates sagolsun yeter, degil mi ?


0
anonim
Haa, bu arada XPEEE'ni firewall'ini 1434/UDP BLOCK olarak ayarladik, gene gitti server kafaustu..

Vesselam, XP ile gelen firewall'e guvenmek, kuzularin guvenligi icin kurtlara guvenmek gibi bir sey oluyor sadece..
0
anonim
Durun, durun..

SP3 Problemi cozuyormus. Download it... Install it:

This software has not passed Microsoft Logo Testing and will not be installed.

Ne demek simdi bu yaa.. Dogrusu, 8 perdelik bir komedi ancak bu kadar olabilir..

Valla dogrusu, iki-uc yerde, LOGO kullanmak icin SQL-2000 kullaniyorlar. Adamlar kiralik hatla bagli. Koca koca marketlerin subeleri. Bugunku zararlarini herhalde 'Illa ki MS-SQL alacaksiniz' diyen LOGO veya Bill Gates karsilar. Allah'tan, ben zamaninda 'Linux uzeirne ORACLE kuralim' demistim.. Yirttim vallahi..



0
anonim
Sorun ISP lerde server barındıranlarda ISP lerin cogu pachlerini yüklemişti zaten.. Isp lerde server barındıran bazı kişilerin tedbirsizliği.
0
anonim

Sanirim www.celik.net.tr de bu yuzden down ...

Kendimize gelelim admin(imsi) beyler
0
murat09
herkese spam posta gondererek berbat sitelerinin reklamini yaparken iyi oluyordu. Oh olsun. AllahIn sopasi yok diye bosuna dememisler :-)
0
anonim
tam kafamdan gecenleri soylemissin :)
0
roots
adminlerin bir suçu yok. Çünkü virüs olsa da olmasada bulaşmasada trafiği şişirdiğinden ulaşımı engelliyor. suç adminlerin degil :)
sql i yada virüsü yazanların
0
anonim
zamanında patchleri takip edip yükleyenlerde sorun olmadı.
0
cayfer
Sadece Tr.deki ISPler degil, dunyada pek cok yer fena cokmus. Bu worm''un bulastigi iki MS-SQL sunucu karsilikli birbirlerini SQL-Ping''lemeye basliyormus. Trafik de geometrik dizi olarak artiyormus.
Gene ortalik birbirine girdi, gene sahnede Micros~1! Bir de dedikleri gibi kodlarinin bir bolumunu acarlarsa iste o zaman mahvolduk.
0
anonim
Bu bilgiyi nereden aldiniz, kaynak gösterebilir misiniz?
0
cayfer
Bu adreste worm kodunun disassemble edilmis hali var. Ayrica Slashdot.org'ta dunyanin bir cok yerinden gelen cokme haberlerini gorebilirsiniz.

http://www.boredom.org/~cstone/worm-annotated.txt
0
tongucyumruk
/. olabilir mi? (Sadece tahmin)
0
cayfer
Slashdot'daki bir mesaja gore ABD'deki FoxNews haber TV kanalinda altyazi olarak

The virus spreads using a Microsoft vulnerability known as SQL Server

lafi geciyormus!
0
oktay
Virus'e verilen isimlerden biri *SQ hell*
0
murat09
Bu konuyla ilgili DorukNette bir haber var. (Kendilerinin de etkilendigini nedense soylemiyorlar)

Bu gercekten cok ciddi bir fIrtIna kopardI sanIrIm. Otomasyon projemiz icin ön-etud yapIyordum, acep hanki platformda olmalı datalar diye, su anda hangisini secmeyecegime karar vermis bulunuyorum.
0
conan
snort ile bir saat boyunca network komsulugumuzdaki butun mssql trafigini loglayacagim, bakalim neler oluyor :) datalari online acarim, izlersiniz ;)
0
HoLY
bu sabaha karsi yarim saat icinde 500 un uzeridne hit aldim port 1434 den noluyoz dedimki olay buymus:)
0
HoLY
http://www.eeye.com/html/Research/Flash/AL20030125.html
0
anonim
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp


slashdottan bir quote>
Kevin Mitnick is allowed back on the net and the net goes fubar
0
cayfer
SQL-Slammer''''in yaptıklarını dün hep birlikte izledik. Bir sürü insan MS''''i suçladı; bir o kadarı da ağ yöneticilerini suçladı.

Bu olayda ben şahsen Micros~1''''a kabahat bulmuyorum. Uzun süre önce adamlar yamasını yayınlamışlar. Bence kabahat SQL sunucularını dünyaya açanlarda; daha doğrusu default policy olarak DENY kullanmayan ağ yöneticilerinde ve yamaları zamanında yapmayan veritabanı yöneticilerinde.

Buna rağmen MS''''in bu olayla ciddi bir yara daha aldığını düşünüyorum. Keşke elimizde olanak olsa da MySQL ve PostgreSQL ftp sunucularındaki trafik istatistiklerini görebilsek. Eminim bir sürü dba bu yazılımları ciddi ciddi düşünmeye ve değerlendirmeye başlamıştır. Bir de Oracle ve IBM''''in önümüzdeki haftalardaki reklam sloganlarını merak ediyorum doğrusu.

Bu olaya, bana göre, en ilginç tepkilerden biri bnet.net.tr sayfasında yer alıyor.

Bu saldırı sonucu, tüm hatlar aşırı yoğunluk nedeniyle kullanılamaz hale gelmiş durumda.

diyorlar. Doğrusu tüm hatlarımız olmalıydı sanırım. Gene ağlarda meydana gelen arızalar nedeniyle çözümünü tüm sunuculara uygulanması oldukça yavaş ve zor sağlanabilmektedir. cümlesini de yadırgadım.

Slammer''''ın yol açtığı aşırı trafiği kesmek çok kolay olmalıydı. Uzun süren kesintilerini, sanki kendi kabahatleri değilmiş gibi bir tavır takınarak açıklamaya çalışmaları hoş gelmedi bana.

Dün gün boyu gazetelere ve sık kullandığım servislere bağlanmakta pek sorun yaşamadım (haberturk hariç). FM''''yi zaten gün boyu kullandık. Slashdot keza. Duyduğuma göre bir süre MSN e-posta servisleri calışmamış. Bank of America''''nın ATM makinaları çalışmamış ama genel olarak Net ayaktaydı. Birkaç root DNS sunucu gittiği için DNS çözümlemede gerçekten sorunlar oldu ama genellikle reload ile düzeliyordu.

Ayrıca spam gönderen sunucular bu olaydan hiç etkilenmemiş gibiydi.

Dün neler olduğunu en iyi gösteren (daha doğrusu özetleyen) sayfalardan biri matrix.

0
anonim
http://www.eeye.com/html/Research/Tools/RetinaSapphireSQL.exe
0
anonim
> Bu olayda ben şahsen Micros~1''''a kabahat bulmuyorum. Uzun süre önce adamlar yamasını yayınlamışlar.

Bekle... Yukarıları hiç okumadın galiba. MS, SP2 ile bunu çözdüğünü söylüyor ama o yamada etkileniyor. Cozumu henuz bir haftalik SP3 veya 15 gunluk bir yama. Dahasi bunlar AutoUpdate ile yapilamiyor. Diger yandan bu yamalarda, Win 2003 Server kullaniyorsaniz, yuklenemiyor.

SP2'nin cozdugu sorun baska. Bu ayni acigin farkli bir turevinden kaynaklaniyor.

Diger taraftan SP3'te kullansaniz da, 2 baytlik bir UDP paketi ile MS-SQL'i cokertebiliyorsunuz.
0
anonim
Microsoft un daha evel cıkardığı bir patch olduğu için sanırım hata microsoftta değil patchleri iyi takip etmeyip gereksiz bulanlarda. Suçlu aramak kolay suçun kendinizde olduğunu kabul etmek zor olan.
0
elrond
Neyin hatası kimin hatası; üzerinde güvenlik patchi olmayan bir DB söyleyinde onu kullanalım.
0
murat09
Sayin arkadasim, lutfen sizden sadece buradaki tarihe bakmanizi rica ediyorum. Kimse yogurdum eksi demiyor ama en azIndan bilmeden yorum yapmasanIz daha iyi olur. Bilgi de FM yaparak kazanIlIr. MS SQL2000 sunucu kullanan bir firma ile bugun gorustum, daha bu worm attack tan haberleri yoktu. Dilerim sistemleri etkilenmez (burda isi Allaha havale ediyoruz tabi dogal olarak!). YazIk ki MS e iman etmeyi alternatiflerini arastIrmaya tercih edecek kadar kolay bulan kisiler hala var, yazIk. Budur. Saygilar.
0
FZ
Meşhur SQL katilinin ;-) assembly kodunu görmüşsünüzdür sanırım. Aynı işi yapan Perl kodu da burada.
0
conan
FZcugum, o perl kodu degil, olsa olsa assembly kodu calistiran bir perl programi. Asil kod yine assembly icinde :)
0
tongucyumruk
Hmm
serbest çağrışım mode on:
Gerçek programcılar her dilde assembly kodu yazabilirler

Larry Wall
serbest çağrışım mode off.
0
FZ
perlmonks.org tapınağındaki rahiplere haber verdim hemen bir arkadaşı yollayıp seni ikna etme çalışmalarına başlıyorlar :-P
0
FZ
Sistem yöneticilerine çok laf edildi, kardeşim MS o kadar patch çıkarmış vakti zamanında, sistemlerinizi bir güzel bu yamalarla yamasaydınız
ya işiniz ne!

Bu işin o kadar basit olmadığı aşağıdaki haberden de görülebilir. Görülen o ki Microsoft´un sistem admin.leri de bu konuda biraz (!) zorlanmışlar ;-)

(Bu arada, bu haberin olduğu web sayfasında, haberin hemen üstünde tahmin edin hangi firmanın reklamı var... ORACLE tabii ki :-P )

-----------------------------------------------
The New York Times, 28 January 2003
-----------------------------------------------
Worm Hits Microsoft, Which Ignored Own Advice
By JOHN SCHWARTZ

The frantic message came from the corporation´s information technology workers: `HELP NEEDED: If you have servers that are nonessential, please shut down.´

The computer system was under attack by a rogue program called SQL Slammer, which affected servers running Microsoft software that had not been updated with a patch issued months ago to fix the vulnerability. The worm hindered the operations of hundreds of thousands of computers, slowed Internet traffic and even disrupted thousands of A.T.M. terminals.

But this wasn´t happening at just any company. It was occurring at Microsoft itself. Some internal servers were affected, and service to users of the Microsoft Network was significantly slowed.

The disruption was particularly embarrassing for Microsoft, which has been preaching the gospel of secure computing. On Jan. 23, the company´s chairman, Bill Gates, sent a memo to customers describing progress in improving its products since he announced a `trustworthy computing´ initiative a year ago.

`While we´ve accomplished a lot in the past year, there is still more to do,´ he wrote. He cited the hundreds of millions spent to shore up Microsoft´s products, and its plans to deliver more secure products in the future. He also listed `things customers can do to help.´ The first item was `stay up to date on patches.´

The paradox was not lost on computer security experts. `Microsoft has been blaming the users, saying they have to keep their patches up to date,´ said Bruce Schneier, founder and chief technical officer of Counterpane Internet Security Inc., a company that manages security for customers. `On the other hand, their own actions demonstrate how unrealistic that position is.´

A spokesman for Microsoft, Rick Miller, confirmed that a number of the company´s machines had gone unpatched, and that Microsoft Network services, like many others on the Internet, experienced a significant slowdown. `We, like the rest of the industry, struggle to get 100 percent compliance with our patch management,´ he said.

`We recognize now more than ever that this is something we need to work on. And, like the rest of the industry, we´re working to fix it.´
0
sametc
Sabah gazetesi okuyanlar Hıncal ulucun yazısını okuyanlar bilir hıncal ulucun yazısını aynen yazıyorum:bir bar barı her gece basıyorlarmış maskelerle sabah yine bir mafya geliyor sizi kurtaralımmı diye soyluyorlar yani bu mafya gece o barı basan mafya imiş gece maskeyle soy sabah ise sizi kurtaralımmı diye uyarıyorlar evet sonuçta bu işten microsoft kar etcek acaba microsoft mu yapıyor bunları Hıncal abide anlamış bunları gercekten boyle komplo varmıdır bilmiyorum ama neden olmasın
0
sametc
Sabah gazetesi okuyanlar Hıncal ulucun yazısını okuyanlar bilir hıncal ulucun yazısını aynen yazıyorum:bir bar barı her gece basıyorlarmış maskelerle sabah yine bir mafya geliyor sizi kurtaralımmı diye soyluyorlar yani bu mafya gece o barı basan mafya imiş gece maskeyle soy sabah ise sizi kurtaralımmı diye uyarıyorlar evet sonuçta bu işten microsoft kar etcek acaba microsoft mu yapıyor bunları Hıncal abide anlamış bunları gercekten boyle komplo varmıdır bilmiyorum ama neden olmasın
0
FZ
Hıncal Uluç'un ismi ile burada karşılaşmak biraz üzücü tabii ;-)
0
sametc
neden sen galatasaraylımısın yoksa futbolla alakalı değilmi galatasarrlı değilmisin ben fanatik bjklıyım ama bu yazı beni şaşırttı!!!!
her zaman her yerde en buyuk kartal!!!
0
Nightwalker
MICROSOFT’TAN AÇIKLAMA

Microsoft, 25 Ocak 2003 tarihinde Web sitelerini etkileyen solucan saldırısının ardından gerekli incelemeleri acilen başlatmıştır. İncelemeler sonucunda solucanın, 2002 yılı Temmuz ayında Microsoft’un tespit ettiği ve önlem olarak gerekli yamaları yayınladığı bir açığı kullandığı anlaşılmıştır. İncelemelerde ayrıca, solucan saldırısının SQL Server 7.0 versiyonunu ve kişisel ev kullanıcılarını etkilemediği ortaya çıkmıştır. Temmuz ayında yamanın yayınlanmasının dışında, yakın zamanda piyasaya sunulan SQL Server 2000 Service Pack 3’te (SP3) ise gerekli güncellemeler yapılmıştır.

Şu gördüğünüz microsoftun bu konudaki açıklaması.
Bu konu tartışıldı ama eğer yazılanlar doğruysa bu defa fazla kabahatlari yok gibi ???

0
FZ
Buradaki habere göre SQL Slammer isimli zararlı yazılım İngiliz programcı David Litchfield´in vakti zamanında ilgili SQL Server açığını göstermek için yazmış olduğu ve 2002 Ağustos´undaki Black Hat brifinginde sergilediği kodun nerede ise aynısı.

Litchfield, konu ile ilgili olarak Microsoft´u bilgilendirdikten ve Microsoft da gerekli `patch´i çıkardıktan sonra söz konusu kodu açıkladığını belirtiyor.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Windows Durmuyor

anonim

Windows´ta güvenlik açığı başlıklı haberlerden sıkıldınız mı bilmiyorum ama Windows da durmuyor ki. Yine kritik bir güvenlik açığı üstelik ie kullanmıyor olmanızda sizi kurtaramıyor. Microsoft Windows 98, Microsoft Windows 98 Second Edition, Microsoft Windows Me, Microsoft Windows NT 4.0, Microsoft Windows NT 4.0 Terminal Server Edition, Microsoft Windows 2000 işletim sistemlerinde etkili bu açık sayesinde crackerımızın web sitesini ziyaret ederseniz oluşan açık yüzünden cracker o an kayıtlı olan kullanıcının yetkilerine sahip oluyor. Admin yetkileride buna dahil. Ayrıntılı bilgi ve yama için: Bu adrese

Lastik Hortum Kriptanalizi: Türk Usulü Şifre Çözme - Ya Seve Seve Ya ...

muhuk

Böyle haberlerle anılmak çok üzücü. Bruce Schneier'ın yazısından kısa bir alıntı yaparak yorumlara dikkatinizi çekmek istiyorum:
Cryptographers have long joked about rubber-hose cryptanalysis: basically, beating the keys out of someone. Seems that this might have actually happened in Turkey

RFC 3514

urxalit

Netcraft´taki habere göre 1 Nisan 2003 tarihinde yayınlanan RFC 3514 ile ipv4 paketlerine bir güvenlik biti eklenecek ve bu bitin "good" veya "evil" olmasına göre güvenlik duvarları için paketleri droplamak çok kolay ve zahmetsiz olacak.

Eğer bu RFC hayata geçerse, ABD hükümeti (haberde doğrudan ABD hükümet kuruluşları için diyor) kullandığı güvenlik duvarlarını güncelleyip basitçe, kafasını bozan "terörist" ülkelerden gelen paketleri droplayabilir. Tabi Internet trafiğinin neredeyse %80´inin ABD´de aktığı düşünülürse o ülkeye de Interneti bloklamış olur..

İngilizcesi benden iyi olan arkadaşlar belki haberi çevirebilir.

Uygulamalı Bilgi Güvenliği ve Beyaz Şapkalı Hacker Eğitimi

butch

14 Haziran 2008 tarihinde İstanbul Bilgi Üniversitesi, Dolapdere kampüsünde başlayacak 40 saat süreli Uygulamalı Bilgi Güvenliği ve Beyaz Şapkalı Hacker Eğitimi, 6 hafta boyunca Cumartesi günleri, Bilgi ve Sistem Güvenliği konularında sertifikalı eğitmenler tarafından, uygulamalı örnekler eşliğinde gerçekleştirilecektir.

15 Yaşındaki Hacker Kraliçesi

sundance

Uzakdoğu`da yerel bir ISP`nin öğrenciler arasında düzenlediği "Hacker Kraliçesi" yarışmasında Choi Hae-ran adındaki 15 yaşındaki öğrenci birinci oldu.

Diğer yarışmacıların bir kaç günde hack etmeyi başardıkları siteleri dört saat gibi kısa bir sürede ele geçiren genç kraliçenin (prenses daha uygun sanırım :) bütün hacking bilgilerini Internet`de dolaşarak edindiği ve bilgisayar dergilerini ve teknik kitapları ders kitaplarına tercih etmesine rağmen sınıfının önde gelen öğrencilerinden olduğu açıklandı.