Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 137 reacties
Bron: CNN

Diverse bronnen op internet, waaronder CNN, maken melding van grote vertragingen op internet als gevolg van een virus-achtige uitbraak. Op dit moment worden er over het hele internet enorme aantallen scans uitgevoerd naar een lek in Microsoft SQL Server, waardoor een groot aantal sites verminderd bereikbaar zijn. Ook de DNS root-servers hebben bereikbaarheidsproblemen en tot wel 30 procent packetloss. Inmiddels heeft de worm een naam gekregen: W32/SQLSlammer.worm. Serverbeheerders worden aangeraden onmiddellijk de patch uit te voeren en de poorten 1432 tot en met 1434 voorlopig af te sluiten.

Het gaat om een bekend lek in SQL Server, dat werkt op UDP-poort 1434 (ms-sql-m). Voor dit lek is reeds enige maanden geleden een patch uitgebracht, die veel systeembeheerders echter nog niet hebben toegepast. De worm verzendt een pakketje van 376 bytes naar deze poort, waarop de geïnfecteerde server het pakketje naar willekeurige servers gaat vermenigvuldigen. Er is verder geen schade aan besmette servers: het enige wat de worm doet is zichzelf verder verspreiden. Bij het verzenden van UDP-pakketjes wordt geen pakketje teruggestuurd, waardoor met grote snelheid pakketjes op servers kunnen worden afgevuurd en netwerken kunnen komen plat te liggen.

Ook het Trueserver-netwerk is veel zwaarder belast dan normaal, de filters in de routers van TrueServer onderscheppen op dit moment maar liefst 16 terabyte verkeer per uur (!) als gevolg van de uitbraak. De uitbraak lijkt op die van "Code Red" in de zomer van 2001, toen er ook grote bereikbaarheidsproblemen optraden. Volgens Symantec zijn minimaal 22000 systemen wereldwijd het slachtoffer geworden van de aanval. Inmiddels verbetert de bereikbaarheid weer langzaam, maar met name in Azië zijn er nog problemen. Ook de Amerikaanse veiligheidsdiensten zijn zich ermee gaan bemoeien. Volgens hen is het mogelijk dat Noord-Korea betrokken is bij de uitbraak, maar dit gerucht lijkt vooralsnog niet gefundeerd:

Illustratie infectie vleermuizen hack lek virus"It's not debilitating," said Howard Schmidt, President Bush's No. 2 cyber-security adviser. "Everybody seems to be getting it under control." Schmidt said the FBI's National Infrastructure Protection Center and private experts at the CERT Coordination Center were monitoring the attacks. The latest attack was likely to revive debate within the technology industry about the need for an Internet-wide monitoring center, which the Bush administration has proposed. Some Internet industry executives and lawyers said they would raise serious civil liberties concerns if the U.S. government, not an industry consortium, operated such a powerful monitoring center.

Update 17:20: Meer informatie over de uitbraak en de werking van de worm is toegevoegd. Men tast nog steeds in het duister over de herkomst en het plotselinge oprukken van de worm.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (137)

1 2 3 ... 6
Als belangrijke hosts down zijn waarvan ik gebruik maak, krijg ik een smsje. Normaal, als ik 's morgens mijn telefoon aanzet zijn dat een stuk of 2. Vandaag kreeg ik er 21. Toen ik ging checken bleek dat 30% van de hosts onbereikbaar was. Toen kreeg ik dit te zien:

-03:16- BREAKING NEWS: Reports that a wide-spread cyber-attack is underway on the key internet servers in the United States, the NSA is reporting that the attacks are believed to be originating from North Korean military computer networks.
-03:16- There is a massive worm that has infected all Microsoft SQL servers that are doing a giant DoS attack on udp port 1314. There is currently a major DDOS similar to codered/nimda circulating.
-03:16- It is targetting Microsoft SQL Serers, on udp port 1434, with packets sized at 404 bytes. Approximately 10-20% of the internet is "down" right now.

Dat noord korea er bij betrokken is lijkt me sterk. Het doet me denken aan een poging van de VS om weer iemand zwart te maken. Maar goed, vervelend blijft dit allemaal wel :)
Tsja, blijkt maar weer eens dat de beste beveiliging een goede systeembeheerder is. Een patch bestaat al enkele maanden. Dat zal weer een hoop nieuwe vacatures opleveren en een hoop werkzoekenden ;)
Naast het feit dat de patch al een geruim lange tijd beschikbaar is, is natuurlijk ook de vraag waarom je SQL server uberhaubt via Internet beschikbaar moet zijn...
(Heb jij overigens wel eens een cumulative patch op MS SQL proberen te draaien? Stop de service, backup deze file in deze sub-sub-subdirectory en vervang hem met de file uit deze zip file. Dat is voor velen iets te veel werk.)
voor een systeem beheerder zo dat NOOIT te veel werk mogen zijn.... overigens zit deze patch ook in sp3 voor ms sql 2000. wat een handige setup is.

Installatie zonder de server te hoeven rebooten.
IK denk dat het eerste probleem er in zit dat deze servers beschikbaar zijn op het internet. Waarvoor is dat in godsnaam nodig. Alleen je webserver hoort op het internet te kunnen. De SQL server is een backend tool die je moet firewallen zodat deze ten alle tijden veilig is tegen hacks.

Daarnaast is het verstandig regelmatig patches toe te passen.

Een andere vraag is waarom DB2 / Oracle / MYSQL / Postgresql etc hier nooit in het nieuws zijn door dit soort attacks. Is dit een teken aan de wand dat Microsoft software samen met de beheerders zo slecht hun werk doen ? Of zijn de andere databases zoveel veiliger.
Je ziet helaas nu wel de trend dat databases als stand alone producten webservices zouden kunnen aan bieden. Omdat ze een sort of applicatie server geintegreerd hebben. Als ze dit niet netjes gedaan hebben zit de database inderdaad direct aan het internet vast.

Overigens zitten er redelijk wat db's vast aan het internet om JDBC/ODBC connecties mogelijk te maken van remote hosts. (Absoluut niet mooi gedaan)
"die veel systeembeheerders echter nog niet hebben toegepast."

je zou verbaasd zijn hoeveel onkunde er soms nog is... veiligheid van computersystemen zouden ze moeten aanleren van in het secundair onderwijs... ik zie dat als enige oplossing, het erin "stampen" vanaf jonge leeftijd...
Toch heb ik bij 't patchen van windows servers een ander gevoel als bij linux. Je installeerd iets wat van alles en nog wat oplost, maar hebt geen controle en je kunt ook niet controleren *wat* het precies doet. Hotfixes installeren kan iedereen, maar het blijft imo een vage bedoeling.

De echte oorzaak van lekke machines is trouwens luiheid.. een veel voorkomend verschijnsel onder de windows-wanabe-systeembeheerders ;).
Ik ben software engineer en systeembeheerder in dit kleine bedrijfje waar ik werk (5 man). Ik weet *heel veel* van computers, meer dan de meeste mensen hier.

Maar wat ik *NIET* weet is dat er een patch beschikbaar is voor Microsoft SQL Server omdat er een vulnerability in zit.

Microsoft heeft zoals gewoonlijk weer eens alleen gedacht aan de grote bedrijven die mensen aan kunnen nemen die zich alleen maar met systeembeheer bezig houden. Ze hebben weer eens niet gedacht aan de 'kleine man' die zijn aandacht moet verdelen tussen allerlei weinig-gerelateerde zaken.

Ik zie alleen maar weer de volgende slechte beurt van Microsoft...
Aboneer je op de Microsoft Security Bulletin mailinglist. Ben je altijd van de meest belangrijke patches op de hoogte.
Je ziet helaas nu wel de trend dat databases als stand alone producten webservices zouden kunnen aan bieden. Omdat ze een sort of applicatie server geintegreerd hebben. Als ze dit niet netjes gedaan hebben zit de database inderdaad direct aan het internet vast.

Overigens zitten er redelijk wat db's vast aan het internet om JDBS/ODBC connecties mogelijk te maken van remote hosts. (Absoluut niet mooi gedaan)
Een client applicatie kan een SQL server via een aantal protocollen aanspreken. De meest betrouwbare en snelste daarvan is TCP/IP. Dus vandaar dat als je je netwerk niet goed hebt ingericht dat een SQL server beschikbaar kan zijn via het internet. Daarnaast heb je nog eens gewoon bepaalde gevallen waarbij het vereist is dat de server via het internet beschikbaar is.
Een client applicatie kan een SQL server via een aantal protocollen aanspreken. De meest betrouwbare en snelste daarvan is TCP/IP. Dus vandaar dat als je je netwerk niet goed hebt ingericht dat een SQL server beschikbaar kan zijn via het internet
Wat je nu dus eigenlijk zeg is dat juist omdat er TCP/IP geinstalleerd is je met een slecht ingericht netwerk de SQL server bij kunt??
lijkt me niet, in elk slecht ingericht (beheerd) netwerk met wat voor protocol ook kun je wel bij de SQL server!!!
Is het je niet opgevallen dat de aanvallen via UDP gaan en niet via TCP/IP ?

Overigens is UDP sneller dan TCP/IP, het is alleen geen "veilig" protocol, aangezien het transport niet bewaakt wordt.
Het ene internet is natuurlijk het andere niet :)
Een beetje universiteit in Nederland heeft 2 of 3 /16's, en heeft applicaties die vanaf overal daarbinnen toegang nodig hebben tot databases. Zelfs als je je database server daarbinnen beperkt tot alleen dat interne netwerk heb je een fors risico. Er hoeft binnen die subnetten maar 1 systeem kwetsbaar te zijn (bijvoorbeeld op de kamer van een student die op de campus woont) en die trekt de rest wel mee hoor. En met de bandbreedte die universoteiten gemiddeld genomen tot hun beschikking hebben telt dat leuk op.
Naast het feit dat de patch al een geruim lange tijd beschikbaar is, is natuurlijk ook de vraag waarom je SQL server uberhaubt via Internet beschikbaar moet zijn...
Dit is natuurlijk bullshit van grijze mannetjes die alles graag zo willen houden als het vroeger was.

Ik kan wel een paar dingen bedenken waarom ik dit zou willen hoor... Je stopt toch geen mogelijkheden in software om ze dan maar niet te gebruiken? Vooruitgang heet dat.

Anyway, ik zou niet weten waarom je ueberhaupt zo'n worm het internet op wil sturen...

Je wint er geen donder mee, het is puur vandalisme of terrorisme.

Maar ja, sommige mensen doen nou eenmaal gewoon dingen *omdat het kan*. Die vandalisten doen hun vandalenwerk *omdat het kan* en de software-engineers maken applicaties waarbij ze hun SQL-Server vanaf het internet willen aanspreken *omdat het kan*.

Het ene (vandalisme) is alleen maar puur evil omdat niemand er wat mee bereikt behalve dat ze een hoop mensen kwaad maken, terwijl het andere waarschijnlijk wel voordelen oplevert.

Je hebt gewoon een zieke geest als je dit soort vandalisme uitvoert.
Ach ik weet een universiteit hier in het land waar het computer centrum niets ziet in een firewall, omdat dat strijdig zou zijn met de academische vrijheid |:(
om maar eens een voorbeeld te noemen van beleid wat mede verantwoordelijk is voor het gemak waarmee zo'n worm zich kan verspreiden...
Een patch helpt niet tegen een scan.
Nee, maar het worm effect is dan wel weg. De truc van de worm is dat de servers elkaar infecteren. Zijn ze geinfecteerd dan gaan ze naar random machines UDP verkeer sturen. Als het snelle machines zijn (logisch voor database servers) en ze hebben de beschikking over genoeg bandbreedte dan kan een enkele geinfecteerde machine tientallen megabytes/s aan verkeer genereren.

Treft dat verkeer andere machines die niet gepatched zijn dan geeft hen dat weer het startsein om hezelfde te doen. Is een machine gepatched dan doet ie niks en blijft het dus bij die 'eerste' machine.
Iedereen geeft hier nu af op de systeembeheerders die een half jaar oude patch niet geinstalleerd hebben.... Maar ik vraag me af waarom Microsoft überhaupt ooit software op de markt heeft gebracht waar een fout in zit die, blijkbaar, het halve internet plat kan leggen......?

De patch is nu mischien een half jaar oud, maar deze actie had net zo goed kunnen gebeuren toen de patch er nog niet was..... Duidelijk bericht aan MS om eens wat beter te controleren op dit soort fouten voordat ze hun software uitbrengen......

[edit]
En aan allen die zeggen dat MS hier niet de schuld van mag krijgen...... Leuk hoor, maar er zijn talloze database systemen die dit soort bugs niet bevatten, en ook nog nooit bevat hebben...... Raar dat sommige bedrijven dit soort bugs wél kunnen voorkomen.....
Foutloze software _bestaat niet_ !

Bij produkten die wereldwijd zoveel gebruikt worden is het logisch dat vroeg of laat er een zwakke plek wordt ontdekt. Dat is vervelend maar ook helaas onvermijdbaar. Toen deze zwakke plek aan het licht kwam was er behoorlijk snel een patch voor beschikbaar.

Het feit dat dit nu weer gebeurd is voor de volledige 100% te wijten aan luie/slechte admins (of management lui), dat is zo klaar als een klontje.

Een zwakke plek die je niet kent kan je ook niet voorkomen.

Het is niet altijd zo zwart wit om MS de schuld te geven, nu al zeker niet.
Ik heb een foutloos stukje software... }>

Het heet "Hello World" en bestaat uit slechts 4 regels.. Ik ben knap :+ :+ :+

---begin code---
void main(int argc, char *argv[])
{
printf("Hello World!");
}
---end code---

Grotere projecten zijn ook nog wel redelijk foutloos te schrijven. Door goed rekening te houden met dat je geen vreemde dingen met pointers uithaalt, je invoerbuffers altijd gecontroleerd zijn op overflows. Of overflows simpelweg onmogelijk te maken. Voorbeeldje: je staat versteld van de keren dat ik "strcpy(x,y);" tegen kom waarbij y iets in x probeert te douwen terwijl x te klein kan zijn. Doe het dan gvd netjes met "x = new char\[strlen(y) + 1];strcpy(x,y);... ... ... ... delete x;" of gebruik een strncpy met als maximale grootte de grootte van x.

:) Ik zie al dat er een paar mensen wakker zijn. Over de void vs. int heb ik ook "lang na zitten denken" want ik wilde eigenlijk ook nog een "return 0;" toevoegen, maar aangezien ik in ieder leerboek wat ik over C heb (jaja shame on the writers) VOID staat, heb ik het maar zo gelaten. Wat betreft de "#include <stdio.h>" heb je technisch gezien wel gelijk. Het is zo lang geleden dat ik iets schreef wat output genereerde naar stdout dat ik het bijna vergeten was.
Ik heb een foutloos stukje software

void main(int argc, char *argv[])
{ printf("Hello World!"); }
Je vergeet dus stdio.h te includen. Bovendien mag main geen void zijn, maar moet main altijd van het type int zijn. Het volledige, correcte programma zou moeten zijn:
#include <stdio.h>
int main(int argc, char *argv[])
{ printf("Hello World!"); }
Een main van het type void voldoet niet aan de ANSI C standaard. Een bug dus.
Als je stdio.h niet include, dan is de functie printf() niet gedefinieerd, maar je gebruikt die functie wel. Niet-gedefinieerde functies gebruiken is (uiteraard) niet toegestaan volgens ANSI C, dus dat is ook een bug in je code.

Twee bugs in je (twee-regelige!) "foutloze" programma dus.
je vergeet stdio.h, en dat is vrij groot ;) en er is dikke kans dat daar wel een foutje in zit, of in dependencies :) Dus..
Foutloze software _bestaat niet_ !
Correctie: Foutloze software zou onbetaalbaar zijn.

Foutloos kan namelijk wel als er enorm veel tijd gestoken wordt in het correct opzetten, coderen en controleren van de software. Maar dat is gewoon te duur, dan koopt niemand het meer.
Inderdaad maar het ligt niet alleen aan systeem beheer die lui zijn maar ook aan diverse fabrikanten van software die MS SQL als platform gebruiken.

Mijn werkgever heeft op dit moment namelijk al minimaal 3 software pakketen in gebruik die niet meer werken.
...waarom Microsoft überhaupt ooit software op de markt heeft gebracht waar een fout in zit die, blijkbaar, het halve internet plat kan leggen?
2 misvattingen even corrigeren.

1) Rootservers swampen met een pingflood kan je ook gewoon met pingbots doen, daar heb je geen mssql voor nodig.
2) heb je ooit je security-maillists uitgespit op bugfixes en vulns? Tot zover foutloze software.
Het is niet de 'bug' die half inet plat legt, maar juist de worm die half inet plat legt.

Zo'n opmerking is exact hetzelfde als "Ik snap niet dat de NL overheid snelwegen heeft aangelegd, door hun fout sta ik nu elke dag in de file".
Eerst nadenken, dan posten !!!
Maar ik vraag me af waarom Microsoft überhaupt ooit software op de markt heeft gebracht waar een fout in zit die, blijkbaar, het halve internet plat kan leggen......?
Ik vraag me af waarom iemand ooit SMTP op de markt heeft gebracht, dat kan je allemaal gebruiken voor virusmails en spammails...
Maar ik vraag me af waarom Microsoft überhaupt ooit software op de markt heeft gebracht waar een fout in zit die, blijkbaar, het halve internet plat kan leggen......?
Dat heet nou een bug.
Ik heb op mijn computer er nu welgeteld 265 tegen de firewall zien ketsen. De eerste om 6:30:33, de laatste tot nu toe 14:05:56. Dat is toch wel 35 per uur. En dat voor slechts een computer ;)
Hier ook :P

9:31:43 Unrecognized access from 216.205.77.152:1902 to UDP port 1434
9:32:34 Unrecognized access from 134.129.20.77:3715 to UDP port 1434
9:35:17 Unrecognized access from 216.162.101.203:4643 to UDP port 1434
9:36:13 Unrecognized access from 207.211.22.26:4523 to UDP port 1434
9:36:31 Unrecognized access from 62.94.81.196:1661 to UDP port 1434
9:39:10 Unrecognized access from 65.105.84.180:1794 to UDP port 1434
sorry zal het niet meer doen :+ :P :>
Hier net ook:

26/Jan/2003 15:39:24
UDP Datagram from os2.sonex.lt [194.176.47.195:1068] was blocked by rule 'W32/SQLSlammer.worm'

edit:
en alweer

26/Jan/2003 16:16:36
UDP Datagram from pc22.clues.abdn.ac.uk [139.133.70.22:3114] was blocked by rule 'W32/SQLSlammer.worm'

edit2:
26/Jan/2003 16:27:44
UDP Datagram from 217.110.114.40:1058 was blocked by rule 'W32/SQLSlammer.worm'
TIP:
heb je een linux/unix systeem:
typ dit: /sbin/iptables -I FORWARD -p udp --dport 1434 -j DROP

het dropped alle packages.. van die poort dan..
Als je

/sbin/iptables -I INPUT -p udp --dport 1434 -j DROP

gebruikt dropt'ie het VOOR het forwarden (of zelfs als je niet forward) zodat evt dingen die op de linux-machine zelf op UDP 1434 draaien ook niet gedossed worden.
Recente versies van de Linux-kernel houden INPUT en FORWARD toch sowieso gescheiden? Iets gaat *of* door INPUT, *of* door FORWARD, maar niet door allebei. Dacht ik.
Als je btw dicht wilt zitten gebruik je opt-out: all incoming droppen, tenzij het expliciet wordt toegestaan (RELATED, ESTABLISHED en aparte rules voor incoming connections).
Ook McAfee heeft het opgenomen op hun site

http://vil.nai.com/vil/content/v_99992.htm
Internet Worm Characteristics:
This threat has a special Risk Assessment - it is "High" only for unpatched systems (only affects SQL servers not running SP2 or SP3).

This worm causes increased traffic on UDP port 1434 and spreads between SQL servers.

It uses a buffer overflow in "Server Resolution" service (read about CVE-CAN-2002-0649 vulnerability in MS02-39) to gain control on a target server. SQL Servers running Service Pack 2 or Service Pack 3 are not affected.

The malformed packet (which is the worm) is 376 bytes long and carries the following strings: "h.dllhel32hkernQhounthickChGetTf", "hws2", "Qhsockf" and "toQhsend".
Maar velen willen juist geen SP3 omdat MS daar weer dingen in heeft zitten betreffende licenties en dus de legaliteit.
Je mag het niet zeggen maar wel denken dat dit een straf is voor iedereen die geen hogere SP heeft draaien speciaal om hun illegale installatie onopmerkbaar te blijven....
SP3 voor SQLServer2000 heeft 'iets' met licenses? Wat dan, want als je gewoon een licentie hebt gekocht, kun je gewoon SP3 draaien, ik zie het probleem niet. Overigens had men 6 maanden geleden ook de patch moeten draaien, of iig TCP/IP moeten uitzetten in Server network utility
Mmmhh... ik dacht vanmorgen aan een DDOS. Maar deze worm veroorzaakt waarschijnlijk de 9.6Mb piek tussen 6 en 8 uur deze morgen :(

Het trieste van deze worm is dat deze enkel kan overleven door besmette servers die vervolgens weer andere servers besmetten. Aangezien er zeker nog genoeg bakken zijn waar SQL on gepatched op draait zal die worm lekker veel bandbreedte weg eten.
mijn broer heeft die ook...

hij verzond 6Mbyte/sec naar de router, en vermorzelde daarmee onze breedbandverbeinding...

jammer dat dit neit eerder nieuws is geworden... want de gevolgen zijn groot: DNS-servers in problemen enz...
Tja, een Database is en blijft een backend app en hoort gewoon niet direct bereikbaar te zijn vanaf buitenaf.
Wij hebben zo'n 25 High avalabilty MS SQL servers draaien maar no probs here. Staan allemaal achter een vuurmuurtje, zoals het hoort.

Heeft allemaal gewoon met inzicht te maken. Niet alle mogelijkheden van software moet je willen benutten als dat een risico geeft.
Een Ferrari kan harder dan 200 maar zo hard ga je toch ook niet op een drukke weg rijden, dat is vragen om problemen.
En zo is het in Internet wereld eigenlijk ook.
Internet is niet veilig !!!!! Leren de mensen dat nou nooit?
Ook bestaat er geen foutloze software dus MS afzeiken dat ze slechte code afleveren slaat mijns inziens ook nergend op, is wel lekker populair overigens om te doen (lekker achter de meute meelopen).
Gewoon je hersens gebruiken met een gezonde dosis paranoia.
Had er zelf ook last van met m'n MSDE server op m'n workstation. Ik had m tijdelijk uitgezet, maar nu de patch even geïnstalleerd. Die zielige wormschrijvers kunnen maar niet ophouden he :(
Zolang jij ongepatchde machines met het Internet verbindt hebben ze ook voldoende aanleiding om wormen te schrijven. |:(

(Edit: No flame intented, maar ik vind dat een ieder die verstand van computers heeft zelf ook enige verantwoordelijkheid moet dragen.)
Helemaal mee eens.

Sorry als dit een overbodig krijgt maar het kan niet genoeg benadrukt worden dat het draaien van een server op het Internet, hoe klein dan ook, iets is waar je verantwoordelijk mee om moet springen.
MSDE is weer een geval apart. Lang niet iedereen die dat heeft draaien beseft dat het MS SQL bevat, en lang niet altijd is dat deel van het product in gebruik, dus lekker makkelijk om de patches te vergeten.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True