|
引用 | 編輯
glide
2005-01-28 09:35 |
樓主
|
||
x0
http://isc.sans.org/diary.php?isc=47e1a21557d88557b4622f2b63051e35 近來國外傳出有人利用 "MySQL UDF Dynamic Library Exploit" 的安全漏 洞,撰寫一個 MySQL IRC Bot,透過 IRC server 對各網路上執行 MySQL server 的電腦進行攻擊,特別是安裝在 Windows 上的 MySQL 更容易受害 。(其實不只 MySQL,連 M$ 的 SQL server 之前也曾遭殃) 這個 bot 附有一長傳的 MySQL 管理者密碼,會對 server 進行暴力破解, 一但攻入,會在 "mysql" 這個資料庫當中建立 "bla" 這個 table( "mysql" 這個資料庫存有安裝資訊與使用者帳號密碼等重要資料),當 "bla" 建立後, bot 會寫入一堆資料到 table 中,接著用 'select * from bla into dumpfile "app_result.dll" 製造一個名為 "app_result.dll" 的檔案。接著建立一個 "app_result" 函式,當這個函 式被執行時,會一起將 app_result.dll 一起執行,這個 bot 就這樣被載 入電腦當中了。接著,這個 bot 會連往其他 IRC server 的 port 5002 或 5003,並且導致 IRC server 無法接受其他連線。順便一提,這個 bot 會利用動態 DNS 進行連線,所以 IP 位址會不斷更換。接著 bot 會進入一 個名為 "#rampenstampen" 的頻道,標題是 "!adv.start mysql 80 10 0 132.x.x.x -a -r -s",接著 bot 會隨機掃描 "132.0.0.0/8" 這個網域的 IP,而且這個標題會不斷的變化,就連 10.0.0.0/8 也會受到波及。 這個 bot 被判定為 "Wootbot",具有 DDoS 引擎,可變化的掃描能力, 能向受感染的系統請求相關的資訊,另外他還具備 FTP server 與後門。 還好這個 bot 並沒有真正利用 MySQL 的漏洞,只要 root 的密碼加強 保護就可以避免掉。使用者可以透過下列方法增強保護能力: 1. 使用更難破解的密碼,特別是 root 帳號。 2. 限制 root 只能從 localhost 連線。 3. 增加防火牆的保護,只允許特定 server 存取防火牆中的資料庫。使用 ssh forwarding 與 SSL 加密保護通訊更好。(詳情請參見: http://isc.sans.org/papers/secwinmysql.pdf) 使用者必須注意 port 3306 ( http://isc.sans.org/port_details.php?port=3306&repax=1&tarax=1)是 否有異常狀況發生。 順帶一提,這個 bot 名叫 SPOOLCLL.EXE (md5sum:18d3fe6ebabc4bed7008a9d3cb3713b9) 會建立一個 "evmon" 的 service。  x0
|
|||