从端口下手 企业防范SQL蠕虫病毒的侵袭

SQL蠕虫一直是让企业网络管理人员很头疼的问题,许多时候如果通过Etherpeek针对端口1433、1434抓包会发现,很多用户电脑上面并没有安装SQL服务器,但是仍能监测有蠕虫通过1433端口向外面大量发包。一般来说微软的桌面数据库MSDE也有可能感染该蠕虫。

看看SQLsnake蠕虫,也叫Spida及Digispid,首次露面以来,就一直在扫描成千上万台与Internet相连的电脑系统的1433端口,企图寻找运行微软SQL且没有在系统管理员账号上设置适当密码的系统。还存在另外一种病毒,即使并没有安装数据库的PC也会感染。这个时候客户端PC如果没有办法解决的话,就只能从网络层进行防护了。

一般来说UDP端口1434都是用来做侦听的,可以在网络设备上过滤掉UDP1434;而TCP端口1433是SQL服务器正常通信需要的端口,并不能全网过滤掉。

但是一般来说,跨网段的数据库很少,这样,我们可以开放有数据库的网段的1433端口,然后再过滤全网的1433,这样减少了故障处理点,也达到了目的。

看看下面的ACL,核心三层交换机S8016针对1433、1434所做的ACL,其他设备类似。

注:全网封UDP 1434,开放10.145.7.0网段的TCP端口1433。

rule-map intervlan rule72 tcp any any  eq 1433
rule-map intervlan rule73 tcp any any eq 1434
rule-map intervlan rule69 tcp any 10.145.7.0 0.0.0.255 eq 1433
eacl acl-jxic rule69 permit priority 34083
eacl acl-jxic rule72 deny priority 34088
eacl acl-jxic rule73 deny priority 34090

之后用Etherpeek抓包一看,SQL蠕虫没有了,设备也没有告警,大功告成!

时间: 2022-12-16

从端口下手 企业防范SQL蠕虫病毒的侵袭的相关文章

专家:黑客或释放升级版蠕虫病毒 企业要做好防范

对于从5月12日开始肆虐的"史上最大规模"电脑勒索病毒,<华尔街日报>援引网络安全专家的警告称:黑客们或许将要释放或已经释放了升级版蠕虫病毒,本周,企业必须做好防范新一轮攻击的准备,也有可能出现更多电脑被感染. 欧洲刑警组织周日称,这种名为WannaCry的勒索病毒已至少攻击了150个国家,受害者多达20万个.预计等到周一,上述相关数字可能将继续攀升. 据网络信息公司Digital Shadows的数据,全球有超过130万部计算机仍易于受到感染.该公司总裁Becky Pin

蠕虫病毒疯狂肆虐 数据中心当如何防范?

如今,WannaCry和Petya等蠕虫病毒在全球各地肆虐表明,企业通过更新系统补丁的方式已经远远不能保护其数据中心. 自从计算机时代到来,蠕虫病毒就已经存在.它们是一种没有任何人工干预即可传播的恶意软件--无需点击坏链接或打开受感染的附件. 但是,随着WannaCry和Petya的快速传播,给企业带来的相关费用损失,得到了人们的高度关注. 在 "SQL Slammer" 的蠕虫袭击韩国的互联网服务器之后,工程师检查系统 管理>安全 加利福尼亚安全服务提供商Fortanix公司的

蠕虫病毒是什么?要怎么杀?

2003蠕虫王"(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的红色代码病毒. 感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击.由于"2003蠕虫王"具有极强的传播能力,目前在亚洲.美洲.澳大利亚等地迅速传播,已经造成了全球性的网络灾害.由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势. 小编建议您使用36

蠕虫病毒是什么

  2003蠕虫王"(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的红色代码病毒. 感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击.由于"2003蠕虫王"具有极强的传播能力,目前在亚洲.美洲.澳大利亚等地迅速传播,已经造成了全球性的网络灾害.由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势. 2003蠕虫病

84小时,230台服务器,袋鼠云和客户一起全力阻击WannaCrypt蠕虫病毒

1 -- 上周全球最轰动的事件,莫过于WannaCrypt蠕虫病毒的蔓延 上周五起(美国时间 5 月 12 日,北京时间凌晨),从英国和西班牙开始,恶意软件 WannaCrypt 迅速蔓延到全球,该病毒阻止客户访问自己的数据,除非用户以比特币方式支付赎金. WannaCrypt 利用了从美国国家安全局(NSA)窃取的漏洞利用工具进行攻击.媒体从病毒爆发时到如今持续报道,一时成为焦点和热点,各安全厂商股票纷纷涨停,袋鼠云一家关系民生,关系社会治安的政府客户,也不幸遭受此次病毒重创,数据丢失,系统瘫

绿盟科技互联网安全威胁月报2016.10 请关注新型PLC蠕虫病毒及应对策略

绿盟科技发布了9月互联网安全威胁月报,月报编号NSFOCUS-16-10.9月,绿盟科技漏洞库新增108条,其中高危8条.本次周报建议大家关注 新型PLC蠕虫病毒及应对策略 , 绿盟科技研究员刚实现PLC蠕虫 荷兰研究员就要发布PLC Rootkit 据说这种攻击难以检测 9月数据统计 9月高危漏洞答复下降 2016年9月绿盟科技安全漏洞库共收录108个漏洞, 其中高危漏洞8个.相比8月份的高危漏洞数量大幅下降. 互联网安全漏洞在行业领域增多 BTS 软件漏洞或可劫持手机通讯基站安全威胁通告 来

新型蠕虫病毒暂未加载恶意代码 云计算用户最堪忧

据新华社旧金山5月24日电 一种本月初已落入网络安全监控人员视野的新型电脑网络蠕虫病毒,已被确认利用美国微软公司"视窗"操作系统的7个漏洞入侵了一些电脑系统.尽管现阶段这一蠕虫还没有加载勒索等恶意代码,却因近日利用类似漏洞进行全球大规模攻击的勒索软件病毒而引发更大担忧. 新型蠕虫病毒由克罗地亚政府计算机紧急情况应对小组成员罗斯拉夫·什坦帕尔发现,并命名为"永恒之石",最初在以"视窗7"为操作系统的一台电脑上被发现. 好在"永恒之石&qu

使用安全网关清除蠕虫病毒

自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速.多样化的传播方式不断给网络世界带来灾害.特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界. 不同于一般的病毒,蠕虫病毒以计算机为载体,复制自身在互联网环境下进行传播,蠕虫病毒的传染目标是网络上所有计算机――局域网条件下的共享文件夹.电子邮件E-mail.网络中的恶意网页.大量存在着漏洞的服务器等都成为蠕虫传播的良好途径. 首先,扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机.随机选取某一段IP地址,然后对这一

用QQ聊天工具进行传播的蠕虫病毒

北京信息安全测评中心.金山毒霸联合发布2007年6月8日热门病毒. 今日提醒用户特别注意以下病毒:"QQ尾巴"变种DS(Worm.QQTailEKS.ds)和"QQ大盗"变种WT(Win32.PSWTroj.QQPass.wt). "QQ尾巴"变种DS(Worm.QQTailEKS.ds)是一个会通过QQ发送病毒信息的蠕虫病毒. "AG特务"(Win32.Troj.AGbot)是一个会利用IRC服务器进行恶意攻击的木马病毒.