SQL Server minacciato dal worm-DDoS

Un nuovo worm per MS SQL Server è balzato alle cronache perché porta con sé - in un unico pezzo di codice - le caratteristiche di un tool DDoS e quelle di un worm

Web - La nota firma di sicurezza SecurityFocus ha annunciato negli scorsi giorni di aver identificato un nuovo strumento virale che combina le caratteristiche tipiche di un tool per attacchi di distributed denial of service (DDoS) a quelle di un Internet worm.

Il nuovo vermicello, conosciuto con il nome di "Voyager Alpha Force", colpisce i sistemi su cui gira Microsoft SQL Server nella sua configurazione standard, che prevede un account di amministrazione senza password. Nei giorni seguenti il SecurityFocus ARIS Incident Analysts ha scoperto che il worm è in grado di analizzare tutti gli account di System Administrator alla ricerca di password specificate dall'assalitore.

Quando riesce a penetrare in un sistema, il worm cerca di scaricare dalla rete e installare due cavalli di Troia, "win32mon.exe" e "dnsservice.exe", che possono dare ad un cracker il controllo del server. Questi file potrebbero comunque cambiare nome e locazione rendendo più difficile arginare le attività del virus.
Voyager può essere controllato da un assalitore attraverso IRC, uno strumento di comunicazione già utilizzato in passato da altri worm per diffondersi e lanciare attacchi DDoS.

Gli esperti di sicurezza consigliano agli amministratori di sistema di chiudere la porta 1433, che è quella utilizzata dal worm per analizzare la rete alla ricerca di altri server vulnerabili ove potersi replicare.

Al momento, il worm avrebbe infettato poco più di 300 macchine: nulla in confronto a "enfant terrible" come Nimda o Code Red, tuttavia Elias Levy, CEO di SecurityFocus.com, sostiene che Voyager "è un'arma che aspetta solo che qualcuno prema il grilletto". Gli esperti temono inoltre eventuali varianti più maligne ed in grado di mascherarsi con più efficacia.

Per fortuna - sostengono alcuni esperti - non sono molti gli amministratori di sistema che commettono un errore così grossolano come quello di lasciare attivo, in SQL Server, un account di super utente privo di password.
TAG: sicurezza
85 Commenti alla Notizia SQL Server minacciato dal worm-DDoS
Ordina
  • L'unico vantaggio del software m$ e' che chiunque e' in grado di installarlo / configurarlo, insomma, farlo funzionare.

    Ma se e' fatto funzionare da uno qualunque, senza manutenzione e senza preparazione, funziona male (come tutto il software, anche non m$).

    Quindi per farlo funzionare bene come gli altri bisogna che lo faccia funzionare qualcuno che e' preparato e pagato per mantenere/amministrare tale software.

    Quindi uno specialista.

    Allora tanto vale pagare un sistemista Unix/Linux, che, IMHO, a parita' di tempo/risorse investite funzionano meglio.
    non+autenticato
  • > L'unico vantaggio del software m$ e' che
    > chiunque e' in grado di installarlo /
    > configurarlo, insomma, farlo funzionare.
    >

    questa e' una tua opinione.

    > Ma se e' fatto funzionare da uno qualunque,
    > senza manutenzione e senza preparazione,
    > funziona male (come tutto il software, anche
    > non m$).
    >

    anche un server openbsd configurato da mia sorella non sarebbe il massimo

    > Quindi per farlo funzionare bene come gli
    > altri bisogna che lo faccia funzionare
    > qualcuno che e' preparato e pagato per
    > mantenere/amministrare tale software.
    >

    strano eh?

    > Quindi uno specialista.
    >

    mava???

    > Allora tanto vale pagare un sistemista
    > Unix/Linux, che, IMHO, a parita' di
    > tempo/risorse investite funzionano meglio.

    ecco..
    l'hai sparata
    potevi metterci almeno "secondo me" che non guasta mai.
    Poi se quella che hai detto e' una verita' assoluta, allora scusami, non sono degno di parlarti

    Ciao
    non+autenticato


  • - Scritto da: maks
    > > L'unico vantaggio del software m$ e' che
    > > chiunque e' in grado di installarlo /
    > > configurarlo, insomma, farlo funzionare.
    > >
    >
    > questa e' una tua opinione.

    Ok, quali altri vantaggi hanno allora i software m$ (sempre in server side) rispetto agli altri ?


    > > Ma se e' fatto funzionare da uno
    > qualunque,
    > > senza manutenzione e senza preparazione,
    > > funziona male (come tutto il software,
    > anche
    > > non m$).
    > >
    >
    > anche un server openbsd configurato da mia
    > sorella non sarebbe il massimo

    Bravo ! E' quello che ho detto io 2 righe sopra !!!


    > > Quindi per farlo funzionare bene come gli
    > > altri bisogna che lo faccia funzionare
    > > qualcuno che e' preparato e pagato per
    > > mantenere/amministrare tale software.
    > >
    >
    > strano eh?
    >
    > > Quindi uno specialista.
    > >
    >
    > mava???

    Non volevano essere scoperte dell'acqua calda ! Stavo solo percorrendo un ragionamento !


    > > Allora tanto vale pagare un sistemista
    > > Unix/Linux, che, IMHO, a parita' di
    > > tempo/risorse investite funzionano meglio.
    >
    > ecco..
    > l'hai sparata
    > potevi metterci almeno "secondo me" che non
    > guasta mai.
    > Poi se quella che hai detto e' una verita'
    > assoluta, allora scusami, non sono degno di
    > parlarti

    No, non sei degno di parlarmi perche' non sai nemmeno che IMHO (che io ho scritto) vuol dire esattamente "secondo la mia modesta opinione"


    non+autenticato
  • un esempio: _performance_
    SQL 2000 è il DBMS + veloce del pianeta. Provare per credere
    non+autenticato
  • > > > L'unico vantaggio del software m$ e'
    > che
    > > > chiunque e' in grado di installarlo /
    > > > configurarlo, insomma, farlo
    > funzionare.
    > > >
    > >
    > > questa e' una tua opinione.
    >
    > Ok, quali altri vantaggi hanno allora i
    > software m$ (sempre in server side) rispetto
    > agli altri ?
    >
    >

    piu' che parlare di vantaggi, parlerei di svantaggi, tali da sconsigliarne l'utilizzo.
    SQL Server se la batte con Oracle, ma costa meno.
    Mysql e' gratis, ma non vale un 'unghia dei primi due, e' velocissimo, ma poco sicuro.
    Come vedi, nessuno prevale nettamente sugli altri.
    Si tratta solo e soltanto di scelte, politiche, di marketing o tecniche.
    Se ho una struttura basata su sistemi windows,
    usare altri prodotti MS mi consente di eliminare
    qualsiasi problema di integrazione.

    > No, non sei degno di parlarmi perche' non
    > sai nemmeno che IMHO (che io ho scritto)
    > vuol dire esattamente "secondo la mia
    > modesta opinione"
    >

    ok, avevo letto male
    mea culpa

    ciao
    non+autenticato


  • - Scritto da: maks

    > piu' che parlare di vantaggi, parlerei di
    > svantaggi, tali da sconsigliarne l'utilizzo.
    > SQL Server se la batte con Oracle, ma costa
    > meno.
    > Mysql e' gratis, ma non vale un 'unghia dei
    > primi due, e' velocissimo, ma poco sicuro.

    Che SQL server se la batta con Oracle mi sembra tutto da dimostrare.
    Semmai a battersela con oracle c'e' PostgreSQL (che non hai citato).

    Tirare in ballo MySql contro Oracle non e' corretto, perche' MySql va bene in altri contesti (anzi, va benissimo !)

    Poi, a prescindere dalle nostre preferenze, ci sono i fatti. Ad ogni modo, io mi occupo anche di DB sul lavoro e tempo addietro avevo cercato un po documentazione su PostgreSQL vs Oracle vs MS SQL Server e sinceramente quest'ultimo ne era uscito un po male....

    Alla fine ho scelto postgres.... Grandioso !


    > ok, avevo letto male
    > mea culpa

    No problem ! Chi mi da veramente fastidio e' chi "replaya" senza leggere per abitudine ! Sorry se mi sono scaldato !
    non+autenticato
  • > Che SQL server se la batta con Oracle mi
    > sembra tutto da dimostrare.

    www.tpc.org

    > Semmai a battersela con oracle c'e'
    > PostgreSQL (che non hai citato).

    Dipende che cosa intendi per battersela.

    > Tirare in ballo MySql contro Oracle non e'
    > corretto, perche' MySql va bene in altri
    > contesti (anzi, va benissimo !)

    Anche Access, Interbase, Informix, DB2, Paradox, DBase, ...

    > Poi, a prescindere dalle nostre preferenze,
    > ci sono i fatti.

    www.tpc.org

    > Ad ogni modo, io mi occupo
    > anche di DB sul lavoro e tempo addietro
    > avevo cercato un po documentazione su
    > PostgreSQL vs Oracle vs MS SQL Server e
    > sinceramente quest'ultimo ne era uscito un
    > po male....

    www.tpc.org

    non+autenticato
  • > L'unico vantaggio del software m$ e' che
    > chiunque e' in grado di installarlo /
    > configurarlo, insomma, farlo funzionare.

    E' una tua opinione.

    > Ma se e' fatto funzionare da uno qualunque,
    > senza manutenzione e senza preparazione,
    > funziona male (come tutto il software, anche
    > non m$).

    Metti una personan ignorante a installare e configurare RedHat e vedrai che bel risultato.

    > Quindi per farlo funzionare bene come gli
    > altri bisogna che lo faccia funzionare
    > qualcuno che e' preparato e pagato per
    > mantenere/amministrare tale software.

    Hai bevuto il brodino di volpe questa mattina ?

    > Allora tanto vale pagare un sistemista
    > Unix/Linux, che, IMHO, a parita' di
    > tempo/risorse investite funzionano meglio.

    Se non sai nemmeno distinguere fra un server (e le problematiche ad esse connesse) ed un software client, come fai e scegliere un software ?
    non+autenticato


  • - Scritto da: Antibufala
    > > L'unico vantaggio del software m$ e' che
    > > chiunque e' in grado di installarlo /
    > > configurarlo, insomma, farlo funzionare.
    >
    > E' una tua opinione.

    Ma non e' il vanto del software m$ ? E non e' l'arma che usate sempre contro linux ? Cioe' che i programmi per windows sono piu' facili da installare/configurare/usare ?


    > > Ma se e' fatto funzionare da uno
    > qualunque,
    > > senza manutenzione e senza preparazione,
    > > funziona male (come tutto il software,
    > anche
    > > non m$).
    >
    > Metti una personan ignorante a installare e
    > configurare RedHat e vedrai che bel
    > risultato.

    Infatti, porca troia, se avessi letto UNA RIGA SOPRA, avresti visto che c'e' scritto "come tutto il software anche non m$"


    > > Quindi per farlo funzionare bene come gli
    > > altri bisogna che lo faccia funzionare
    > > qualcuno che e' preparato e pagato per
    > > mantenere/amministrare tale software.
    >
    > Hai bevuto il brodino di volpe questa
    > mattina ?

    Si, vedi che fa molto meglio farsi i brodini che farsici i clisteri ?

    > > Allora tanto vale pagare un sistemista
    > > Unix/Linux, che, IMHO, a parita' di
    > > tempo/risorse investite funzionano meglio.
    >
    > Se non sai nemmeno distinguere fra un server
    > (e le problematiche ad esse connesse) ed un
    > software client, come fai e scegliere un
    > software ?

    Se non sai distinguere tra software client e software server usi software m$ perche' sei una capra.
    non+autenticato
  • > > > L'unico vantaggio del software m$ e'
    > che
    > > > chiunque e' in grado di installarlo /
    > > > configurarlo, insomma, farlo
    > funzionare.
    > >
    > > E' una tua opinione.
    >
    > Ma non e' il vanto del software m$ ? E non
    > e' l'arma che usate sempre contro linux ?
    > Cioe' che i programmi per windows sono piu'
    > facili da installare/configurare/usare ?

    Ripeto, se sai distinguere un client da un server saprai che si parla di semplicità per i software client, come è giusto che sia.

    > > Metti una personan ignorante a installare
    > e
    > > configurare RedHat e vedrai che bel
    > > risultato.
    >
    > Infatti, porca troia, se avessi letto UNA
    > RIGA SOPRA, avresti visto che c'e' scritto
    > "come tutto il software anche non m$"

    Ma come, ti scaldi per così poco ? Se dici che il software MS non va bene e poi "come tutto il software anche non m$", allora dici che tutto il software è da buttare via.

    > > > Quindi per farlo funzionare bene come
    > gli
    > > > altri bisogna che lo faccia funzionare
    > > > qualcuno che e' preparato e pagato per
    > > > mantenere/amministrare tale software.
    > >
    > > Hai bevuto il brodino di volpe questa
    > > mattina ?
    >
    > Si, vedi che fa molto meglio farsi i brodini
    > che farsici i clisteri ?

    Volevo farti notale l'ovvietà dell'affermazione. Poco adatto in un thread ove partecipano fondamentalmente tecnici.

    >
    > > > Allora tanto vale pagare un sistemista
    > > > Unix/Linux, che, IMHO, a parita' di
    > > > tempo/risorse investite funzionano
    > meglio.
    > >
    > > Se non sai nemmeno distinguere fra un
    > server
    > > (e le problematiche ad esse connesse) ed
    > un
    > > software client, come fai e scegliere un
    > > software ?
    >
    > Se non sai distinguere tra software client e
    > software server usi software m$ perche' sei
    > una capra.

    Ti sei perso...
    non+autenticato


  • - Scritto da: Antibufala
    > > > > L'unico vantaggio del software m$ e'
    > > che
    > > > > chiunque e' in grado di installarlo
    > /
    > > > > configurarlo, insomma, farlo
    > > funzionare.
    > > >
    > > > E' una tua opinione.
    > >
    > > Ma non e' il vanto del software m$ ? E non
    > > e' l'arma che usate sempre contro linux ?
    > > Cioe' che i programmi per windows sono
    > piu'
    > > facili da installare/configurare/usare ?
    >
    > Ripeto, se sai distinguere un client da un
    > server saprai che si parla di semplicità per
    > i software client, come è giusto che sia.
    >
    > > > Metti una personan ignorante a
    > installare
    > > e
    > > > configurare RedHat e vedrai che bel
    > > > risultato.
    > >
    > > Infatti, porca troia, se avessi letto UNA
    > > RIGA SOPRA, avresti visto che c'e' scritto
    > > "come tutto il software anche non m$"
    >
    > Ma come, ti scaldi per così poco ? Se dici
    > che il software MS non va bene e poi "come
    > tutto il software anche non m$", allora dici
    > che tutto il software è da buttare via.

    1. Non ho detto che il software MS non va bene
    2. Non ho detto nemmeno che tutto il software fa schifo !!!

    Ma prima di rispondere li leggi i post o cosa ?

    > > > Hai bevuto il brodino di volpe questa
    > > > mattina ?
    > >
    > > Si, vedi che fa molto meglio farsi i
    > brodini
    > > che farsici i clisteri ?
    >
    > Volevo farti notale l'ovvietà
    > dell'affermazione. Poco adatto in un thread
    > ove partecipano fondamentalmente tecnici.

    No, non era un'affermazione !!! Stavo seguendo passo-passo un discorso logico !!!!!!

    Sul fatto che qui poi ci siano solo tecnici, lasciami dubitare foooortemente....

    >
    > >
    > > > > Allora tanto vale pagare un
    > sistemista
    > > > > Unix/Linux, che, IMHO, a parita' di
    > > > > tempo/risorse investite funzionano
    > > meglio.
    > > >
    > > > Se non sai nemmeno distinguere fra un
    > > server
    > > > (e le problematiche ad esse connesse)
    > ed
    > > un
    > > > software client, come fai e scegliere
    > un
    > > > software ?
    > >
    > > Se non sai distinguere tra software
    > client e
    > > software server usi software m$ perche'
    > sei
    > > una capra.
    >
    > Ti sei perso...

    No, sei te che ti sei perso !!!! Per cortesia, ribatti pure alle affermazioni (i forum sono fatti apposta) ma cerca di leggerle con piu' attenzione !

    Ciao.


    non+autenticato
  • Qualsiasi amministratore che mette un servizio (DBMS) con password blank e disponibile da Internet è da licenziare al momento e interdetto dal qualsiasi sistema informatico.
    Bisogna migliorare la legge sui licenziamenti
    non+autenticato
  • Però, sarebbe giusto che quando un'o.s./piattaforma superi un numero di bug consistente ad almeno 2 anni (esempio) dal rilascio della vers., la società deve pagare una maxi-multa allo stato dove è commercializzato il prodotto, e che le può far causa; nonchè risarcire l'ut., anche aggiungendo un'indennizzo.
    Sarebbe ora di finirla, con sw pagati (io non li uso, per cui non scrivo per vendetta) e non garantiti. Da notare che come in questo forum ho appreso, in Italia e Germania, vi è una legge in materia che obbliga le house al risarcimento ed all'indennizzo (avversata dalle stesse house sw, anche M$), ma mai attuata dalle sw house.
    non+autenticato
  • Le leggi in Ita e Germ. le ho apprese su questo sito, non su questo forum (sbaglio!!!)
    Detto ciò, sono daccordo a licenziare chi non è meritevole di essere assunto. Se vi è chi è più bravo, è giusto che venga assunto al posto del meno bravo.
    non+autenticato
  • Configurando qualsiasi software con password blank ed accedibile da Internet lo buchi tranquillamente. Può anche essere BSD.

    La qualità del software non è ancora regolamentata anche perchè è difficile farlo. Io sono per la qualità del software e quelli ai quali lavoro sono tali (opinione non mia). Il punto è che si divrebbe definire la qualità prodotta dalle software houses ma anche dei professionisti del settore.
    La qualità media del settore informatico è molto bassa per i seguenti motivi:
    - gestione da parte di IT managers incapaci
    - risorse prese dalla strada e messe fare i programmatori
    - mancanza quasi totale di formazione professionale di qualità

    Se si facesse una legge in senso limitativo, probabilmente si potrebbero chiudere il 99% delle società produttrici di software, compresi i grandi.

    Tantè, che anche Oracle, pur avendo una bella lista di bugs in OAS, ha deciso di non supportarlo più per proporre 9IAS. Chi ha bugs se li tiene, punto.
    non+autenticato
  • Le pessime config. rimango tali cmq, indipendentemente dalle sw house e loro prodotti; ma è vero che queste attualmente non rispondono di niente, neanche in 2 paesi come Ita e Germ. dove le leggi teoricamente le obbligano a rispondere dei loro prodotti.
    Tra l'altro, anche se si fanno cattive configurazioni, che per prudenza non bisognerebbe fare, non significa (parlo in generale) che il sw è dispensato dai danni eventuali: se ha un bug e un'hack lo sfrutta, la colpa è del sw, il fatto di complicare il lavoro all'hack non implica che se non lo si è fatto il sw può tranquillamente essere bug-ato.
    E se si attuasse la responsabilità penale per il cattivo sw, credo che quella che ci rimetterà di più è proprio M$, anche in ambito win.
    non+autenticato
  • L'oggetto del thread non lo ritengo un bug, bensì una cattiva configurazione che danneggia il servizio stesso.
    Se compri un'automobile e la lasci aperta, te la rubano, non puoi prendertela con la casa costruttrice.

    In termini di responsabilità chredo che arrivare al livello di penale sia alcquanto esagerato e porterebbe a non produrre più alcun software. Non è possibile prevedere tutto nel campo informatico ed il bug è fisiologico. Se per un bug rischiassi di andare in galera, allora non farei più alcun software.
    A parer mio la responsabilità del fornitore, deve limitarsi a risolvere i bugs nel periodo di garanzia del prodotto nel tempo più breve possibile con la possibilità di verifica anche dell'operato del consumatore (bisogna vedere chi ha fatto la cazzata).
    Come direbbe Conficuo: "il giusto mezzo"
    non+autenticato
  • Se compri una automobile, e la chiusura centralizzata chiude tutto meno la porta del guidatore (perche' il produttore ha pensato che gli automobilisti sono troppo stupidi per sapere che per guidare la devono aprire) e senza avvisare il cliente, e' colpa del produttore.

    Senza contare che un prodotto che si dichiare facile e alla portata di tutti deve dare tutti gli avvisi anche i piu' banali, visto il tipo di cliente a cui si rivolge.

    Se proprio non lo si vuole considerare un bug diventa una truffa (promessa di vendita falsa e tendenziosa, destinata ad ingannare il cliente su quello che compra).

    Salve
         Dbg

    P.S. mi piacerebbe proprio vedere qualche casa produrre e vendere automobili dicendo che la possono guidare tutti, anche senza esperienza, senza scuola guida, senza prestare nessuna attenzione, che fa' tutto lei ..... quante condanne che si beccherebbe.

    - Scritto da: Antibufala
    > L'oggetto del thread non lo ritengo un bug,
    > bensì una cattiva configurazione che
    ]zac[
    non+autenticato
  • > Senza contare che un prodotto che si
    > dichiare facile e alla portata di tutti deve
    > dare tutti gli avvisi anche i piu' banali,
    > visto il tipo di cliente a cui si rivolge.

    Guarda che se vuoi hai tutti gli avvisi di questo mondo. Ma usi Windows ?

    > Se proprio non lo si vuole considerare un
    > bug diventa una truffa (promessa di vendita
    > falsa e tendenziosa, destinata ad ingannare
    > il cliente su quello che compra).

    L'oggetto del thread è una cagata dell'amministratore del sistema ingiustificabile.
    non+autenticato
  • - Scritto da: Antibufala
    ]zac[
    > Guarda che se vuoi hai tutti gli avvisi di
    > questo mondo. Ma usi Windows ?
    ]zac[

    > L'oggetto del thread è una cagata
    > dell'amministratore del sistema
    > ingiustificabile.

    Proprio vero il detto che chi non vuol capire .... ha la testa di cemento.

    SQL server e' dichiarato come facile, sicuro, alla portata di tutti (non compare da nessuna parte un avviso che usarlo cosi come viene installato e' pericoloso).

    Senza trolleggiare tanto alla ms basterebbe non inserire utenti di defaul, ma obbligare l'utente a inserire i dati.
    Ma questo sarebbe fare gl interessi dell'utente, anche a rischio di spaventare e di perdere qualche cliente 'facilone'.

    non+autenticato
  • > SQL server e' dichiarato come facile,
    > sicuro, alla portata di tutti (non compare
    > da nessuna parte un avviso che usarlo cosi
    > come viene installato e' pericoloso).
    >

    e questo lo dici tu
    evidentemente non l'hai mai installato.
    Altrimenti sapresti che
    a) sql server chiede di inserire la password di sa durante l'installazione
    b) se la lasci in bianco ti avverte che la cosa e' alquanto dilettantesca e ti suggerisce di inserirne una ad installazione terminata

    > Senza trolleggiare tanto alla ms basterebbe
    > non inserire utenti di defaul, ma obbligare
    > l'utente a inserire i dati.

    perche'... non lo fa?

    > Ma questo sarebbe fare gl interessi
    > dell'utente, anche a rischio di spaventare e
    > di perdere qualche cliente 'facilone'.
    >

    ma sei pazzo?
    quale utente facilone spenderebbe dai 10 milioni in su per comprare SQL server e lasciare la password in bianco?
    un coglione, non un facilone...

    Peraltro, se installo la mia debian e lascio root con password in bianco, il sistema funziona, ma forse sono a rischio per quanto riguarda la sicurezza.

    Ciao

    p.s.: mysql si installa con la password di root in bianco, fatto con apt-get install mysql, solo permette la connesione esclusivamente da localhost.
    non+autenticato
  • - Scritto da: maks
    ]zac[
    > Altrimenti sapresti che
    > a) sql server chiede di inserire la password
    > di sa durante l'installazione
    > b) se la lasci in bianco ti avverte che la
    > cosa e' alquanto dilettantesca e ti
    > suggerisce di inserirne una ad installazione
    > terminata
    ]zac[

    Adesso so' che hanno inserito delle migliorie.

    > ma sei pazzo?

    Impossibile rispondere, se lo sono non lo so', se lo so' non lo sono.

    > quale utente facilone spenderebbe dai 10
    > milioni in su per comprare SQL server e
    > lasciare la password in bianco?

    Quello che si fa' convincere dalla pubblicita' ms (l'unico modo di ....)?

    > un coglione, non un facilone...

    Vedi sopra.

    ]zac[
    > p.s.: mysql si installa con la password di
    > root in bianco, fatto con apt-get install
    > mysql, solo permette la connesione
    > esclusivamente da localhost.

    Ciao

    P.S. non e' che la sicurezza migliora dichiarando falle di altri prodotti.
    non+autenticato
  • è possibile che in giro esistono web master o amministratori
    della cepu che sul server connesso al web installano qualsiasi cosa.
    il server web in quanto tale deve aver installato solo il server web
    (iis apache ecc..) l'unica porta aperta all'esterno dovrebbe essere
    solo quelle aperte dal server web stesso.
    E invece lanci uno scan port su un server web (microsoft) e
    ci trovi di tutto ftp,smtp,exchange, le porte usate per l'autenticazione
    degli utenti (avete capito bene ci sono alcuni server web che sono usati
    anche come controller di dominio).

    Alla fine non è questione di microsoft e più bacato di linux, unix, mac
    ecc... e questione che amministratori di prodotti microsoft ci si
    diventa anche con un corso di due giorni nel retrobottega di un negozio
    di pc (caso reale), oppure dando nelle mani di un grafico web il manualone di
    win2000 server (caso reale) facendogli amministrare il server, più difficele
    e fare lo stesso con altri prodotti linux in testa.

    non+autenticato


  • Ma che bella scoperta. Lasci esposto ad internet un server con la password di amministratore bianca? Te lo bucano? Ma va? Ma non dirmi? Ma chissa' che attacco complicatissimo!
    Cavoli che competenza.
    non+autenticato
  • COME SI FA A "CHIUDERE "LA PORTA 1433?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)