Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Cómo poner contraseña a un servidor SQL
 
VSantivirus No. 695 - Año 6 - Domingo 2 de junio de 2002

 Cómo poner contraseña a un servidor SQL
http://www.vsantivirus.com/password-sql.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Recientes infecciones de virus como el JS/SQLspida (o SQLsnake), se producen por la sencilla razón de que quienes instalan un servidor SQL, lo hacen con sus opciones por defecto, dejando entonces en blanco la contraseña para la cuenta del administrador del sistema (SA).

Esta configuración debería cambiarse luego que se instala esta aplicación, pero son muchos los que ignoran esta mínima precaución de seguridad, por lo que existen innumerables sistemas vulnerables.

El acceso a un sistema sin contraseñas, deja habilitado el uso de varios procedimientos extendidos de los servidores SQL, uno de los cuáles (XP_CMDSHELL), permite la ejecución de código en modo DOS, y es usado por gusanos como el SQLspida para ejecutarse y propagarse.

Estas son las instrucciones que los expertos recomiendan para asignar una contraseña a un sistema ya instalado. El ejemplo se aplica al producto MSDE (Microsoft SQLServer Desktop Edition), incluido en muchas otros paquetes de aplicaciones, pero básicamente es similar a otros.

Para agregar una contraseña al MSDE, proceda así:

1. Desde una línea de comandos, teclee lo siguiente para conectarse al programa:

osql -U sa -P

Deberá aparecer este prompt:

1>

2. Teclee los siguientes comandos (suplante 'password' por su contraseña):

1> EXEC sp_password NULL, 'password', 'sa'
2> go

Debería aparecer un mensaje anunciándole que la contraseña ha sido cambiada exitosamente.

Si después del punto 1, usted no recibe el prompt '1>', y en su lugar ve un mensaje de error, posiblemente usted ya tenga una contraseña creada anteriormente.

Para verificar esto, o para ver si la misma está en blanco, Microsoft sugiere lo siguiente:

Desde una línea de comandos teclee lo siguiente más Enter:

osql -U sa

Esto lo conecta a la cuenta SA en la instancia por defecto del MSDE en forma local. Para conectarse a instancias diferentes, cambie la orden anterior por lo siguiente:

osql -U sa -S nombre_servidor\nombre_instancia

En ambos casos, debería salir este prompt:

Password:

Si pulsa Enter, se ingresa una contraseña en blanco. Si la contraseña no está en blanco, aparecerá un mensaje de error.


Referencias:

VSantivirus No. 684 - 22/may/02
JS/SQLspida. Nuevo gusano afecta el rendimiento de SQL
http://www.vsantivirus.com/sqlspida.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS