广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4172 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
glide
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[PHP][讨论] MySQL 传遭受 IRC bot 攻击
MySQL Bot
http://isc.sans.org/diary.php?isc=4...4622f2b63051e35

近来国外传出有人利用 "MySQL UDF Dynamic Library Exploit" 的安全漏
洞,撰写一个 MySQL IRC Bot,透过 IRC server 对各网路上执行 MySQL
server 的电脑进行攻击,特别是安装在 Windows 上的 MySQL 更容易受害
。(其实不只 MySQL,连 M$ 的 SQL server 之前也曾遭殃)

这个 bot 附有一长传的 MySQL 管理者密码,会对 server 进行暴力破解,
一但攻入,会在 "mysql" 这个资料库当中建立 "bla" 这个 table(
"mysql" 这个资料库存有安装资讯与使用者帐号密码等重要资料),当
"bla" 建立后, bot 会写入一堆资料到 table 中,接着用 'select *
from bla into dumpfile "app_result.dll" 制造一个名为
"app_result.dll" 的档案。接着建立一个 "app_result" 函式,当这个函
式被执行时,会一起将 app_result.dll 一起执行,这个 bot 就这样被载
入电脑当中了。接着,这个 bot 会连往其他 IRC server 的 port 5002
或 5003,并且导致 IRC server 无法接受其他连线。顺便一提,这个 bot
会利用动态 DNS 进行连线,所以 IP 位址会不断更换。接着 bot 会进入一
个名为 "#rampenstampen" 的频道,标题是 "!adv.start mysql 80 10 0
132.x.x.x -a -r -s",接着 bot 会随机扫描 "132.0.0.0/8" 这个网域的
IP,而且这个标题会不断的变化,就连 10.0.0.0/8 也会受到波及。

这个 bot 被判定为 "Wootbot",具有 DDoS 引擎,可变化的扫描能力,
能向受感染的系统请求相关的资讯,另外他还具备 FTP server 与后门。
还好这个 bot 并没有真正利用 MySQL 的漏洞,只要 root 的密码加强
保护就可以避免掉。使用者可以透过下列方法增强保护能力:

1. 使用更难破解的密码,特别是 root 帐号。
2. 限制 root 只能从 localhost 连线。
3. 增加防火墙的保护,只允许特定 server 存取防火墙中的资料库。使用
  ssh forwarding 与 SSL 加密保护通讯更好。(详情请参见:
  http://isc.sans.org/pap...mysql.pdf

使用者必须注意 port 3306 (
http://isc.sans.org/port_details....epax=1&tarax=1)是
否有异常状况发生。

顺带一提,这个 bot 名叫 SPOOLCLL.EXE (md5sum:18d3fe6ebabc4bed7008a9d3cb3713b9)
会建立一个 "evmon" 的 service。



献花 x0 回到顶端 [楼 主] From:台湾中华电信 | Posted:2005-01-28 09:35 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.059117 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言