Der Newbie 10 Geschrieben 15. August 2003 Melden Teilen Geschrieben 15. August 2003 Mal ne Frage, die mich im Zuge der Sicherheit bewegt. Warum meldet meine Firewall regelmässig Verbindungsversuche aus dem Internet auf meinen SQL Server? Woher kennen die den? Oder ist das auch nur so etwas wie ein "Portscan"? Und es ist nur eine MSDE2000 engine, die von einem Datenbankprogramm installiert wurde. Übrigens ist der Wurm immer noch sehr aktiv, ich habe alle 2 Minuten Angriffsversuche auf Port 135, 137 445 usw... Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 15. August 2003 Melden Teilen Geschrieben 15. August 2003 Tja, du hast die Antwort auf deine Frage selber beantwortet. Es handelt sich um den Slammer-Wurm (war vor ca. 6 Monaten aktuell), der Schwachstellen im SQL-Server ausnutzt, um sich zu verbreiten. Sei froh, dass du deine Firewall richtig konfiguriert hast. Patch bei der Gelegenheit aber mal alle Server mit den neuesten Updates. (Nur eine Empfehlung von mir, falls die Firewall doch mal was durchläßt). Grüße Olaf Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 15. August 2003 Autor Melden Teilen Geschrieben 15. August 2003 hm..da frage ich mich, welche patches nehm ich denne? hab gerade mal den 73 MB für desktopengine downgeloadet. wie kann ich eigentlich feststellen, ob nicht schon der SP3 SQL von haus aus drin steckt? weil dieses sql zeugs ist mir noch sehr unheimlich, weil da soviel im verborgenen läuft. Diese Meldung kommt übrigens auch für: Taskplaner Engine erwünscht eingehende Verbinung... TCP 1075 gibt da auch noch einen taskplanerwurm? Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 15. August 2003 Melden Teilen Geschrieben 15. August 2003 Geh mal auf http://www.securityfocus.com/bid/vendor/ und gib als Vendor Microsoft, als Title SQL Server (2000) ein. Da findest du jede Menge Sachen. Grüße Olaf Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 15. August 2003 Autor Melden Teilen Geschrieben 15. August 2003 thanks...ne ganze menge fehler....oui oui Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 18. August 2003 Autor Melden Teilen Geschrieben 18. August 2003 zhmm, also SQL SP3 ist installiert, trotzdem kommen weiterhin diese Anfragen. Soll ich das wie einen Portscan akzeptieren oder kann ich da etwas in der firewall einstellen? (jetzt steht drin: -Frage nach ob ablehenen, annehmen... Gruss newbie Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 18. August 2003 Melden Teilen Geschrieben 18. August 2003 Hallo, schön, dass du dich um den Server und die SPs gekümmert hast. Nun fehlen noch die Sicherheitspatches nach dem SP3 (wenn vorhanden). Nun, wenn niemand über diesen fraglichen Port Verbindung aufnehmen soll, dann sperr ihn in der FW. Wenn über diesen Port jedoch Verbindungen hergestellt werden sollen, dann musst du ihn freigeben. Da ist nun ein wenig Wissen über TCP/IP-Ports und die angebotenen Dienste für euer Intra-, Extra- und Internet gefragt. Welche das sind, kann ich dir auch nicht sagen, das solltest du selber wissen. Tip: falls sich bisher niemand beschwert hat, dass die Ports gesperrt sind, so lass sie gesperrt. Besser ist die Philosophie, dass Benutzer fragen, weshalb sie nicht mehr dies oder jenes tun können, als dass ein Unbekannter (Hacker) auf euren Server draufkommt und du dies nicht merkst. (wird Philosophie nach der neuen Rechtschreibung immer noch so geschrieben ???) Grüße Olaf Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 18. August 2003 Autor Melden Teilen Geschrieben 18. August 2003 Danke Olaf, gibt es denn ähnlich wie bei den Diensten eine MUSS offen sein Portliste? Ich habe soviele Ports offen, die by default wohl offen sind und ich kenne mich mit ports garnicht so aus. anbei mal die offene tcp und udp ports, wenn dir da bei irgendeinem port sofort die Adern schwellen weil ich dau die offen habe, dann sag doch bitte mal bescheid. Gruss newbie Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 18. August 2003 Autor Melden Teilen Geschrieben 18. August 2003 und hier die udp´s Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 19. August 2003 Melden Teilen Geschrieben 19. August 2003 Hi, ich hoffe, das ist jetzt die Portliste für das interne Firmennetz, oder? Alles andere wäre sehr komisch. Solange du keine bösen Mitarbeiter fürchtest, die dir den Server mutwillig zerschießen, sollte dies egal sein. Nach Außen hin sollten nur die Ports für die jeweiligen Dienste offen sein, die im Internet angeboten werden (http=80, domain name=53 usw.). Schau mal in \windows\system32\drivers\etc\services. Da steht auch einiges drin. Sonst frag nochmal nach (habe gerade nicht so dick Zeit). Olaf Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 26. August 2003 Melden Teilen Geschrieben 26. August 2003 443 80 21 25 53 mehr würde ich von aussen nicht zulassen :suspect: wenn, du dann noch welche von aussen offen brauchst (web services, tauschbörsen :rolleyes: etc.) merkst du es schnell ;) und nutze die sp3-feature zum setzen des benutzers - du solltes den datenbank account 'sa' nicht mehr verwenden! Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 26. August 2003 Autor Melden Teilen Geschrieben 26. August 2003 Original geschrieben von edv-olaf Hi, ich hoffe, das ist jetzt die Portliste für das interne Firmennetz, oder? Alles andere wäre sehr komisch. Solange du keine bösen Mitarbeiter fürchtest, die dir den Server mutwillig zerschießen, sollte dies egal sein. Nach Außen hin sollten nur die Ports für die jeweiligen Dienste offen sein, die im Internet angeboten werden (http=80, domain name=53 usw.). Schau mal in \windows\system32\drivers\etc\services. Da steht auch einiges drin. Sonst frag nochmal nach (habe gerade nicht so dick Zeit). Olaf Sorry, hab im Profil nciht gesehen, das du hier geantwortet hast. tja, wenn ich das wüsste. Habe an den Ports nix gemacht und ich wundere mich ja auch, warum die alle offen sind. gibt es denn unter windows server ne möglichkeit die ports zu öffnen, schliessen...etc... das einzige was ich mit agnitum firewall machen kann ist die ports zu sperren per regel... ich kenne keine möglichkeit unter wk2 ports zu öffnen bzw. zu schliessen... weist du wie das geht? gruss newbie.. Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 26. August 2003 Autor Melden Teilen Geschrieben 26. August 2003 Original geschrieben von real_tarantoga 443 80 21 25 53 mehr würde ich von aussen nicht zulassen :suspect: wenn, du dann noch welche von aussen offen brauchst (web services, tauschbörsen :rolleyes: etc.) merkst du es schnell ;) und nutze die sp3-feature zum setzen des benutzers - du solltes den datenbank account 'sa' nicht mehr verwenden! danke, wie kann ich denn die anderen ports sperren? meine firewall agnitum kann nur per regel den port sperren, geht es nicht das ich diese ports garnichterst öffne ?? lustig ist halt, das ich manchmal sehe wie sich ne menge ports in der firewall öffnen, weil da wohl anfragen aus dem netz kommen und die firewall dann per assistent fragt ob erlaubt oder nicht... danke für den SA tip...ist ja logisch...ist wohl der erste angriffsversuch mit diesem usernamen... newbie Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.