Stamattina ho fatto le mie normali operazioni di routine.
Con una bella tazza di caffè nelle mie mani, ho cercato di leggere la posta.
Erano le 9.15 circa, la rete era abbastanza lenta, ma nulla di che.
Cominciano ad arrivarmi notifiche sullo stato di SQL Server, con l'impossibilità di connettersi da parte del web server.
Penso sia un problema temporaneo, considerato che il server è in USA, a -6GMT e quindi probabilmente stanno applicando il SP3, approffittando del week-end.
Peccato che fino alle 11.40 la situazione non migliori.
All'inizio è bloccato SQL Server, con un trace route mi accorgo che in pratica il gateway del provider non riesce a girare le richieste.
Per un po' il servizio web è su, poi non riesco ad arrivarci. In realtà i logs mi faranno capire che non è mai andato giù, quello che ha collassato è stata Internet.
Per un paio d'ore, praticamente, non è stato possibile arrivare a nessun sito.
Nel momento in cui scrivo (11.51) e dopo aver scambiato due chiacchiere con l'ingegnere che si occupa dell'infrastruttura di rete su cui si poggia il server di ASPItalia.com, il problema è dato dal fatto che purtroppo ci sono molte macchine con SQL Server non patchato correttamente, che hanno quindi generato un traffico mostruoso.

Si parla di circa 80 Mbits/sec per server, quando c'è banda tale da permetterlo!

E' bastato per mandare in crisi l'intera rete mondiale, come si può vedere dall'immagine seguente, presa alle 11.52 da Internet Health Report.
I dati in rosso, indicano rete molto congestionata. L'immagine parla da sola.

Un Worm di SQL Server

In questo momento, a poche ore dall'attacco, si sa che è un worm che scatena un attacco di tipo DoS (Denial of Service) tra due server dotati di SQL Server, non patchati.
Sfrutta una vulnerabilità nota da circa un anno e mezzo ed a cui sono immuni i SQL Server con il SP 2 e la patch installata o con il SP 3.
Il problema vale anche per MSDE senza patch/SP ed una volta infettato, il server non è più in grado di essere fermato, se non attraverso un reset hardware.

Aggiornamento delle 12.30

Ho appena letto su NTBugTraq come si comporta il worm.
Invia pacchetti dalla porta 4741 in locale una volta infettatto, verso la porta 1434 di altri server.
In questo modo infetta gli altri server.
Le soluzioni, a parte installare la patch del 17 Luglio 2002, riportata nel
MS02-039, prevedono la possibilità di bloccare tutto il traffico in uscita proveniente dalla porta 4741.
Ovviamente tutti i sistemi senza patch e con firewall aperti hanno subito danni ed hanno contribuito a rendere la rete così instabile.

Microsoft ha già inserito in TechNet una pagina riguardante il worm dove avere maggiori informazioni.

Mano mano che avremo nuove notizie sull'argomento, vi terremo aggiornati.