[Pluto-security] Worm SQL Server

Tommaso 'Dido' Di Donato pluto-security@lists.pluto.linux.it
Mon, 27 Jan 2003 15:28:02 +0100


Immagino che tutti lo saprete gi=E0... ma nel caso: nella notte tra venerd=
=EC e=20
sabato, pare che Big Internet sia stato messo un po' in ginocchio da un=20
nuovo vermone che attacca MS SQL Server.
Non star=F2 a entrare in merito di come patchare il db, ma una soluzione pu=
=F2=20
essere quella di intervenire sui router di frontiera. Chi di voi usasse=20
Linux (o cugini) come firewall/router, si ricordi di chiudere ogni accesso=
=20
diretto alla 1434/udp.
Qui un link carino offerto da Cisco:=20
http://www.cisco.com/warp/public/707/newsflash.html
Questa una signature per Snort, se pu=F2 interessare (Grazie a Quequero):

alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL Slammer Worm=20
Activity"; content:"|81f10301049b81f101|"; classtype:bad-unknown; sid:9994;=
=20
rev:1;)

In bocca al lupo!

Dido