MySQL Bothttp://isc.sans.org/diary.php?isc=4...4622f2b63051e35近来国外传出有人利用 "MySQL UDF Dynamic Library Exploit" 的安全漏
洞,撰写一个 MySQL IRC Bot,透过 IRC server 对各网路上执行 MySQL
server 的电脑进行攻击,特别是安装在 Windows 上的 MySQL 更容易受害
。(其实不只 MySQL,连 M$ 的 SQL server 之前也曾遭殃)
这个 bot 附有一长传的 MySQL 管理者密码,会对 server 进行暴力破解,
一但攻入,会在 "mysql" 这个资料库当中建立 "bla" 这个 table(
"mysql" 这个资料库存有安装资讯与使用者帐号密码等重要资料),当
"bla" 建立后, bot 会写入一堆资料到 table 中,接着用 'select *
from bla into dumpfile "app_result.dll" 制造一个名为
"app_result.dll" 的档案。接着建立一个 "app_result" 函式,当这个函
式被执行时,会一起将 app_result.dll 一起执行,这个 bot 就这样被载
入电脑当中了。接着,这个 bot 会连往其他 IRC server 的 port 5002
或 5003,并且导致 IRC server 无法接受其他连线。顺便一提,这个 bot
会利用动态 DNS 进行连线,所以 IP 位址会不断更换。接着 bot 会进入一
个名为 "#rampenstampen" 的频道,标题是 "!adv.start mysql 80 10 0
132.x.x.x -a -r -s",接着 bot 会随机扫描 "132.0.0.0/8" 这个网域的
IP,而且这个标题会不断的变化,就连 10.0.0.0/8 也会受到波及。
这个 bot 被判定为 "Wootbot",具有 DDoS 引擎,可变化的扫描能力,
能向受感染的系统请求相关的资讯,另外他还具备 FTP server 与后门。
还好这个 bot 并没有真正利用 MySQL 的漏洞,只要 root 的密码加强
保护就可以避免掉。使用者可以透过下列方法增强保护能力:
1. 使用更难破解的密码,特别是 root 帐号。
2. 限制 root 只能从 localhost 连线。
3. 增加防火墙的保护,只允许特定 server 存取防火墙中的资料库。使用
ssh forwarding 与 SSL 加密保护通讯更好。(详情请参见:
http://isc.sans.org/pap...mysql.pdf)
使用者必须注意 port 3306 (
http://isc.sans.org/port_details....epax=1&tarax=1)是
否有异常状况发生。
顺带一提,这个 bot 名叫 SPOOLCLL.EXE (md5sum:18d3fe6ebabc4bed7008a9d3cb3713b9)
会建立一个 "evmon" 的 service。
