Ms-Sql Worm

x koba:
scusa il repost, ho aggiornato la rule dopo un paio di ping pong sulla 
mailinglist
di snort
----

Se avete problemi con la rete e' per colpa di un worm che infetta i server 
ms-sql,
(c'e' gia' un bel thread su bugtraq) potete leggere qui l'advisor:
http://www.nextgenss.com/advisories/mssql-udp.txt

per chi usa snort ho tirato su questa signature:

alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL Slammer Worm 
Activity";
content:"|81f10301049b81f101|"; classtype:bad-unknown; sid:9994; rev:1;)

La patch della microsoft si trova qui:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
un mirror e':
http://thor.stech.psi.br/ms-update/Q323875_SQL2000_SP2_en.EXE

Qui potete trovare uno script perl nel caso vi voleste infettare per capire 
che succede:
http://www.digitaloffense.net/worms/mssql_udp_worm/worm.pl

E qui trovate un disassemly del pacchetto spedito dal verme:
http://www.digitaloffense.net/worms/mssql_udp_worm/disassembly.txt

Se usate ms-sql bloccate la porta udp 1434 e poi e dovreste stare apposto, 
cmq nel primo advisor
sono contenute tutte le informazioni necessarie, a presto e buona pesca :)

Happy patching.

[Evvai, la rete collassa... Grazie M$]

-=Quequero=-
SpP/Member www.spippolatori.com
UIC Founder www.quequero.tk
Linux Registered User #207978  


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List