Maison  >  Article  >  Quelles sont les caractéristiques d'une attaque de ver SQL Killer ?

Quelles sont les caractéristiques d'une attaque de ver SQL Killer ?

烟雨青岚
烟雨青岚original
2020-07-15 14:26:2918015parcourir

Les caractéristiques des attaques de vers tueurs SQL sont : une consommation massive de bande passante réseau. Le ver tueur SQL n'a pas la capacité de détruire les fichiers et les données. Son principal impact est de consommer une grande quantité de ressources de bande passante réseau et de paralyser le réseau.

Quelles sont les caractéristiques d'une attaque de ver SQL Killer ?

Les caractéristiques du virus ver tueur SQL sont : une consommation massive de bande passante réseau

Virus "SQL killer" (Ver Le ver .SQL.helkerm) est un ver extrêmement rare qui possède un corps viral extrêmement court mais qui est extrêmement transmissible. Le ver exploite une vulnérabilité de dépassement de tampon de Microsoft SQL Server 2000 pour se propager.

Ce virus n'a pas la capacité de détruire des fichiers ou des données. Son principal impact est de consommer une grande quantité de ressources de bande passante réseau et de paralyser le réseau.

Le ver attaque les serveurs de la série NT installés avec Microsoft SQL. Le virus tente de détecter le port 1434/udp de la machine attaquée (le paramètre par défaut de Jiangmin Anti-Black King est de fermer le port 1434, utilisez Jiangmin Anti. -Les utilisateurs de Black King ne seront pas affectés par le virus), si la détection réussit, un code de ver de 376 octets est envoyé.

Le port 1434/udp est un port ouvert pour Microsoft SQL.

Ce port présente une vulnérabilité de dépassement de tampon sur les plates-formes SQL Server non corrigées, ce qui permet au code ultérieur du ver d'avoir la possibilité de s'exécuter sur la machine attaquée et de se propager davantage.

Le ver a envahi le système MS SQL Server et s'est exécuté dans l'espace de processus d'application du programme principal MS SQL Server 2000, sqlservr.exe. MS SQL Server 2000 possède le niveau d'autorisations système le plus élevé, de sorte que le ver a également obtenu des autorisations au niveau système. .

Système attaqué : système sans MS SQL Server2000 SP3 installé

Étant donné que le ver ne détermine pas s'il a envahi le système, le préjudice causé par le ver est évident. L'échec de la tentative d'intrusion sera évident. entraîner une attaque par déni de service, provoquant l'arrêt du service et la paralysie de la machine attaquée.

Le ver attaque par la vulnérabilité de débordement de tampon dans sqlsort.dll sur la machine attaquée et prend le contrôle.

Obtenez ensuite la fonction GetTickCount et les adresses des fonctions socket et sendto à partir de kernel32 et ws2_32.dll respectivement.

Appelez ensuite la fonction gettickcount, utilisez sa valeur de retour pour générer une graine de nombre aléatoire, et utilisez cette graine pour générer une adresse IP comme objet d'attaque

Créez ensuite un socket UDP et envoyez-la ; son propre code pour cibler est le port 1434 de la machine attaquée, puis entre dans une boucle infinie, répétant la génération de nombres aléatoires mentionnée ci-dessus pour calculer l'adresse IP, et lance une série d'actions d'attaque.

Pour plus de connaissances connexes, veuillez visiter le Site Web PHP chinois ! !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn