Nuestro Blog

Ataques servidor Sql Server


10 octubre, 2015 0 Comentarios Mantenimiento informático

troyano-sql-server-microsoft-tiendas-virtuales-coruñaEn Intecnor desarrollamos tiendas virtuales para nuestros clientes enlazadas con sus propios programas y por tanto en muchas ocasiones es necesario disponer de un enlace con la base de datos. En muchas ocasiones nos encontramos con el motor de bases de datos de Microsoft, el Sql Server y hay que enlazar con él. Nunca nos había ocurrido, pero esta semana tuvimos un serio problema de virus por este enlace.

Para enlazar desde el exterior con un servidor Sql Server de Microsoft se utilizan de manera standard los siguientes parámetros:

  • Puerto 1443
  • Usuario de acceso a la base de datos
  • Contraseña de la base de datos

Lo de utilizar los puertos standard es un problema. Nos había ya ocurrido en el pasado que el puerto 3389 de Terminal Server (puedes ver como cambiar el puerto aquíy ahora ha vuelto a pasar con el de acceso a Sql.

El ataque es pura fuerza bruta. El atacante entra inicialmente por el puerto 1443 y se autentifica con el usuario standard, que es sa. Como contraseñas utiliza también las que se suelen usar de manera standard hasta dar con la válida. Una vez conectados a la base de datos y debido a alguna vulnerabilidad del Sql, inyecta un troyano.

Una vez dentro, el troyano crea cantidad de usuarios con privilegios de administrador para poder acceder libremente al servidor. En nuestro caso nos dimos cuenta precisamente de su existencia por la cantidad de usuarios, con nombres raros, que aparecieron,

Una vez detectado, procedimos a su eliminación, pero debe de inyectar algún controlador en el arranque, que una vez eliminado, evita que el servidor arranque de nuevo de manera correcta, teniendo que volver a reinstalar todo el sistema.

Así las cosas, las recomendaciones para evitar este tipo de malware que afecta al motor de base de datos de Microsoft son:

  • Utilización de puertos diferentes al standard
  • Firewall para filtrar los accesos y si puede ser filtrado de ip mejor.
  • Antivirus, si bien en nuestro caso no detectó ningún virus

La versión de motor de base de datos que usamos en este proyecto era la 2008, pero creo que en el caso de las versiones anteriores, las grietas de seguridad son todavía mayores.

Espero que os ayude a securizar vuestro servidor Sql

Deja un comentario

Eres humano o un robot ? Responde a la pregunta * Time limit is exhausted. Please reload CAPTCHA.

Back to top

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información ACEPTAR

Aviso de cookies
Share This