Кому нужен ваш SQL-сервер?

Все мы знаем, что объектом атак киберпреступников становится всё, до чего они могут дотянуться. Мы в «Лаборатории Касперского» знаем также и то, что многие системные администраторы не слишком беспокоятся о безопасности своих интернет-ресурсов. Печально, но факт: спросите рядового сисадмина, надежно ли защищены его серверы. В ответ получите: «Да ладно! Кому нужен мой SQL-сервер?»

Несколько месяцев назад мы установили в нашем японском исследовательском центре в Токио новую «ловушку» www.mwcollect.org. «Ловушка» используется в основном для сбора вредоносных исполняемых файлов Windows, с чем она достаточно хорошо справляется, эмулируя шелл-код при обнаружении сетевых эксплойтов. Кроме того, при использовании «ловушки» для «прослушивания» всех портов мы получаем статистику (а также неожиданные данные) по разным сетевым портам хоста, имеющего глобальный IP-адрес.

На графике показано количество атак и нежелательных соединений на отдельных портах нашего сервера. Здесь приведены десять наиболее часто используемых злоумышленниками портов, но даже самый редко атакуемый порт в этом списке (порт 1130) получает порядка шестнадцати нежелательных соединений в день. Вот таблица сервисов, стандартно использующих каждый порт:

Надеюсь, этого вполне достаточно, чтобы доказать вам, что в интернете все-таки есть те, кому нужен ваш SQL сервер (и кое-что еще…). Данные, приведенные выше, показывают, что в Сети полным-полно мальчишей-плохишей, которые ищут лазейки в незащищенных хостах. Кто-то из них пытается найти машины, на которых установлен Backdoor.Win32.Noknok, другие пытаются взломать легитимные сервисы, такие как Radmin и Windows Remote Desktop.

Хотите знать, кто именно ведет охоту на плохо защищенные ресурсы? Вот еще один график, показывающий, сколько соединений с нашей «ловушкой» производится ежедневно из разных стран:

Задержитесь на минутку и сравните этот график с предыдущим! Вы увидите, что количество MSSQL-атак коррелирует с количеством атак, исходящих из Китая. А недавно к этой массированной атаке на сервис MSSQL присоединились и южнокорейские хосты.

«Ловушка» помогает нам получить ценную информацию, которую мы изучаем и анализируем. Кроме того, это достаточно недорогое развлечение. Мы используем для «ловушки» компьютер с процессором Pentium III 500 МГц и 384 Мб ОЗУ, который в наши дни стоит, наверное, меньше $100. Поэтому, если вы собираетесь выбросить старый медленный компьютер, подумайте лучше о том, чтобы установить на него «ловушку»!