Massive Internet Attack

[cioxx]

http://www.cnn.com/2003/TECH/internet/01/25/internet.attack.ap/index.html

 

[cioxx]

Tb recebi este mail

Am also seeing this. Whatever it is, it's EXTREMELY talkative. Filled up
my PIX 535's memory with its connections. And that was two infected hosts.
This is nasty, just nasty. Shooting from the hip, it looks like it might
(emphasis on might) be infecting via IIS.


> I'm getting massive packet loss to various points on the globe.
> I am seeing a lot of these in my tcpdump output on each
> host.
>
> 02:06:31.017088 150.140.142.17.3047 > 24.193.37.212.ms-sql-m: udp 376
> 02:06:31.017244 24.193.37.212 > 150.140.142.17: icmp: 24.193.37.212 udp port ms-sql-m unreachable [tos 0xc0
>
> It looks like there's a worm affecting MS SQL Server which is
> pingflooding addresses at some random sequence.
>
> All admins with access to routers should block port 1434 (ms-sql-m)!
>
> Everyone running MS SQL Server shut it the hell down or make
> sure it can't access the internet proper!
>
> I make no guarantees that this information is correct, test it
> out for yourself!
>
> --
> Michael Bacarella 24/7 phone: 646 641-8662
> Netgraft Corporation http://netgraft.com/
> "unique technologies to empower your business"
>
> Finger email address for public key. Key fingerprint:
> C40C CB1E D2F6 7628 6308 F554 7A68 A5CF 0BD8 C055
>

 

[iJFerreira]

A net tá um espetáculo.

Dentro de Portugal tá muito mais rápida.

 

[ptzs]

Redes com 95% de packet loss em Los Angeles!

Mais uma falha brutal no Sql server. Parece que o Sql server "ouve" a porta 1434/udp para escolher o protocolo de comunicacao (named pipes, tcp/ip etc).

O worm tem apenas 374 bytes mas espalha-se mui fast por udp. O meu conselho é fecharem a porta 1434 ate patchar.

Patch Here


P.S. - Por esta altura o worm ta a blokear os states brutalmente, next vem a Europa que se pensa q ainda vai ser pior.

 

[wEs]

é engraçado ver como somos tão pequeninos!tão pequeninos e insignificantes e sem poder que até um simples worm pode mastigar a net toda!

 

[HyperRush]

Pois , nao me admira como ontem o meu servidor dc
ficou de pernas pro ar

 

[NeoToPower]

ñ foi o teu servidor de dc...... foram todos!!! 8o O PThub, o elite, o cascais, etc! Tá tudo down e neste momento ainda se matem!
Esta worm está fazer brutos estragos mesmo!

 

[kazuza]

No dia 23 já sabia disso...

Nada melhor do que ter como homepage a página do melhor software anti-virus do mundo (Symantec!)

Os admins que não "queiram" instalar o patch, ao menos que fechem o port em questão!...