廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4161 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
glide
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[PHP][討論] MySQL 傳遭受 IRC bot 攻擊
MySQL Bot
http://isc.sans.org/diary.php?isc=4...4622f2b63051e35

近來國外傳出有人利用 "MySQL UDF Dynamic Library Exploit" 的安全漏
洞,撰寫一個 MySQL IRC Bot,透過 IRC server 對各網路上執行 MySQL
server 的電腦進行攻擊,特別是安裝在 Windows 上的 MySQL 更容易受害
。(其實不只 MySQL,連 M$ 的 SQL server 之前也曾遭殃)

這個 bot 附有一長傳的 MySQL 管理者密碼,會對 server 進行暴力破解,
一但攻入,會在 "mysql" 這個資料庫當中建立 "bla" 這個 table(
"mysql" 這個資料庫存有安裝資訊與使用者帳號密碼等重要資料),當
"bla" 建立後, bot 會寫入一堆資料到 table 中,接著用 'select *
from bla into dumpfile "app_result.dll" 製造一個名為
"app_result.dll" 的檔案。接著建立一個 "app_result" 函式,當這個函
式被執行時,會一起將 app_result.dll 一起執行,這個 bot 就這樣被載
入電腦當中了。接著,這個 bot 會連往其他 IRC server 的 port 5002
或 5003,並且導致 IRC server 無法接受其他連線。順便一提,這個 bot
會利用動態 DNS 進行連線,所以 IP 位址會不斷更換。接著 bot 會進入一
個名為 "#rampenstampen" 的頻道,標題是 "!adv.start mysql 80 10 0
132.x.x.x -a -r -s",接著 bot 會隨機掃描 "132.0.0.0/8" 這個網域的
IP,而且這個標題會不斷的變化,就連 10.0.0.0/8 也會受到波及。

這個 bot 被判定為 "Wootbot",具有 DDoS 引擎,可變化的掃描能力,
能向受感染的系統請求相關的資訊,另外他還具備 FTP server 與後門。
還好這個 bot 並沒有真正利用 MySQL 的漏洞,只要 root 的密碼加強
保護就可以避免掉。使用者可以透過下列方法增強保護能力:

1. 使用更難破解的密碼,特別是 root 帳號。
2. 限制 root 只能從 localhost 連線。
3. 增加防火牆的保護,只允許特定 server 存取防火牆中的資料庫。使用
  ssh forwarding 與 SSL 加密保護通訊更好。(詳情請參見:
  http://isc.sans.org/pap...mysql.pdf

使用者必須注意 port 3306 (
http://isc.sans.org/port_details....epax=1&tarax=1)是
否有異常狀況發生。

順帶一提,這個 bot 名叫 SPOOLCLL.EXE (md5sum:18d3fe6ebabc4bed7008a9d3cb3713b9)
會建立一個 "evmon" 的 service。



獻花 x0 回到頂端 [樓 主] From:台灣中華電信 | Posted:2005-01-28 09:35 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056356 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言