PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Snort: MS-SQL Worm propagation attempt



Schwarzer'Engel
28.07.03, 17:48
Hi,

ich habe als IDS Snort und als Auswertungssoftware ACID laufen. Auf meinem Rechner laufen MySQL und Apache, allerdings abgedichtet nach aussen durch eine iptables-Firewall (die entsprechenden Ports habe ich schon von aussen getestet). Ich kann auf http und mysql nur intern vom LAN aus zugreifen.
Nun habe ich gestern im Snort Log ein paar Einträge entdeckt, die auf einen MS-SQL Worm propagation attempt hinweisen. Daraufhin habe ich meine Internetverbindung getrennt, das Log gelöscht und mich neu eingewählt um eine neue IP zu erhalten. Allerdings hatte ich heute wieder Einträge dieser Art:



#0-(8-4) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 02:48:10 12.243.221.55:1246 217.225.243.187:1434 UDP
#1-(8-5) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 03:12:40 24.136.203.74:1516 217.225.243.187:1434 UDP
#2-(8-8) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 05:19:12 81.84.90.125:3339 217.225.243.187:1434 UDP
#3-(8-11) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 09:51:45 204.188.104.149:1147 217.225.243.187:1434 UDP
#4-(8-13) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 13:23:25 12.216.19.232:3361 217.225.243.187:1434 UDP
#5-(8-23) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 14:19:56 212.65.232.197:1179 217.225.243.187:1434 UDP
#6-(8-24) [url] [bugtraq] [bugtraq] MS-SQL Worm propagation attempt 2003-07-28 14:43:17 202.164.174.82:1868 217.225.243.187:1434 UDP

Was bedeutet das? Vielleicht das jemand einen den Port 1434 scannt, und Acid bzw Snort das als MS-SQL Angriff deutet? Sollte ich mir Sorgen machen oder kann ich dies ignorieren?

Danke&Gruß
Chris

HangLoose
28.07.03, 17:54
moin moin


ich mach das entscheidende mal fett ;)

MS-SQL Worm propagation attempt.


geistern die immer noch im net rum? benutz mal die boardsuche, der wurm hat vor nicht allzu langer zeit das halbe netz lahm gelegt ;).


Gruß HL

Schwarzer'Engel
28.07.03, 18:02
Naja, ich habe doch aber gar keinen MS-SQL Server. Also macht das bei mir nichts? Ausserdem hab ich ja noch die Firewall.

HangLoose
28.07.03, 18:07
Naja, ich habe doch aber gar keinen MS-SQL Server.

eben, wo nichts ist, kann auch nichts angegriffen werden ;). wenn die einträge stören, mußt du die entsprechende rule auskommentieren.


Gruß HL

Schwarzer'Engel
28.07.03, 18:24
Ok, danke !!!!

cane
28.07.03, 20:41
Ist das der MySQL-Slammer Wurm?
Ist doch der der in ein UDP Paket passt und sich bei Infektion an Zufalls IP Adressen weiterverschickt, oder?

Also quasi einen DoS verursacht...

Cane

HangLoose
28.07.03, 20:54
@cane

genau der ist es => http://www.linuxforen.de/forums/showthread.php?s=&threadid=63107&highlight=MSSQL


Gruß HL