форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
Сообщение от opennews (ok) on 29-Окт-15, 17:11
Компания Symantec сообщила (http://www.symantec.com/connect/blogs/mysql-servers-hijacked...) о выявлении вредоносного ПО, поражающего сервера с СУБД MySQL с целью их использования для совершения DDoS-атак. На первой стадии проникновения, путём эксплуатации уязвимостей в web-приложениях, позволяющих осуществить подстановку SQL-кода, в СУБД загружается вредоносная встраиваемая процедура, которая загружает и выполняет на сервере троянскую программу Chikdos, подключающую хост к ботнету для осуществления DDoS-атак. Большинство поражённых систем зафиксировано в Индии, Китае, Бразилии и Нидерландах. Поражаются только сборки MySQL для платформы Windows, но теоретически атака может быть адаптирована и для Linux (применяемый троян Chikdos доступен (https://www.giac.org/paper/gcih/759/exploiting-user-defined-...) и для Linux). URL: http://www.symantec.com/connect/blogs/mysql-servers-hijacked... Новость: http://www.opennet.dev/opennews/art.shtml?num=43216
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Атака на сервера MySQL с целью совершения DDoS-атак"	+7 +/–
Сообщение от pkdr (ok) on 29-Окт-15, 17:11
Дожили, теперь БД интересна не как хранилище данных, которые можно стащить, а как средство для участия в ботнете. > Поражаются только сборки MySQL для платформы Windows, но теоретически атака может быть адаптирована и для Linux. Просто среди тех, кто использует БД под линуксом, невероятно редко встречаются такие, кому хватает идиотизма вывесить порты базы данных в мир.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Атака на сервера MySQL с целью совершения DDoS-атак"	+7 +/–
	Сообщение от pkdr (ok) on 29-Окт-15, 17:15
	Хм, ошибся, заражают базу через веб-сервер используя sql-инъекцию, простите, виндузятники, сегодня я вас выставил чуть хуже, чем вы есть на самом деле.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Аноним (??) on 29-Окт-15, 17:31
	И тут внимание вопрос, зачем в БД встраивать механизмы позволяющие из SQL кода устанавливать "расширения" либо участвовать в ботнетах напрямую...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	10. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от YetAnotherOnanym (ok) on 29-Окт-15, 18:40
	"Гибкость" же!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "Атака на сервера MySQL с целью совершения DDoS-атак"	+4 +/–
	Сообщение от userd (ok) on 29-Окт-15, 18:57
	Вы ошиблись в одной детали. На фоне других косяков разница между инъекцией и подключением к порту с пользователем root без пароля значит совсем немного. Из текста новости не ясно, а по ссылке написано, что использованы UDF. Для того чтобы загрузить UDF можно выполнить запрос типа SELECT … INTO DUMPFILE '…'; Далее, для установки UDF нужно выполнить оператор типа CREATE FUNCTION … RETURNS … SONAME '…'; CREATE FUNCTION загружает библиотеку только из plugin_dir; в старинных версиях была ошибка - при пустом plugin_dir библиотека грузилась так, как грузится любая библиотека по правилам принятым в операционной системе. итого для записи и установки UDF нужно: - plugin_dir должен быть доступен серверу БД на запись.   - mysql выполняется от пользователя с лишними привилегиями   - или plugin_dir должен быть доступен для записи - пользователь должен иметь право "CREATE ROUTINE"
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	22. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от pkdr (ok) on 30-Окт-15, 13:23
	> Вы ошиблись в одной детали. > На фоне других косяков разница между инъекцией и подключением к порту с пользователем root без пароля значит совсем немного. Не ошибся, я же написал "чуть хуже, чем вы есть на самом деле", это и есть "разницы совсем немного"
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Обнимашки on 29-Окт-15, 20:56
	Албанский вирус <SHELL># mysql -u root -p -h <IP_OF_TARGET_HOST> Enter password: <PASSWORD> https://www.giac.org/paper/gcih/759/exploiting-user-defined-...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	14. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от svsd_val (ok) on 29-Окт-15, 19:03
	Дело в том что права у винды на запуск всего и вся есть и редко - очень редко ограничены, что делает распространение вредоносного ПО под виндой весьма обыденным делом., GNU/Linux / Unix админы часто "параноики" и блочат всё и вся включая и права на запуск без их разрешения...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	16. "Атака на сервера MySQL с целью совершения DDoS-атак"	+1 +/–
	Сообщение от _KUL (ok) on 30-Окт-15, 00:20
	Не имеет значения ОС (и в винде есть гибкие локальные политики), всё зависит от админа, у некоторых и под линуксом веб-морда от рута отдаётся ("так ведь ошибки не сяпятся в лог")
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	19. "Атака на сервера MySQL с целью совершения DDoS-атак"	+1 +/–
	Сообщение от тоже Аноним (ok) on 30-Окт-15, 08:41
	Имеет. Для того, что в нормальных системах делается просто и естественно, в винде нужно гнуть локальные политики. И наоборот - чтобы сделать так безобразно, как в винде по умолчанию, в нормальных системах нужно очень постараться.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	23. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Michael Shigorin (ok) on 30-Окт-15, 16:20
	> Для того, что в нормальных системах делается просто и естественно, > в винде нужно гнуть локальные политики. И наоборот - чтобы сделать > так безобразно, как в винде по умолчанию, в нормальных системах > нужно очень постараться. Слушайте, но у меня уже стена для рамочек скоро закончится!
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	25. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от тоже Аноним (ok) on 30-Окт-15, 18:17
	Ardebito ergo sum, типа того.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	21. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от cmp (ok) on 30-Окт-15, 10:18
	> Дожили, теперь БД интересна не как хранилище данных, которые можно стащить, а > как средство для участия в ботнете. А кому интересна база виндузятника с кривой цмской, кроме его друзей-одноклассников?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	28. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от XoRe (ok) on 31-Окт-15, 22:06
	> Просто среди тех, кто использует БД под линуксом, невероятно редко встречаются такие, > кому хватает идиотизма вывесить порты базы данных в мир. Боюсь, и там идиотов хватает - шаред хостинги постоянно на этом попадаются
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Атака на сервера MySQL с целью совершения DDoS-атак"	+8 +/–
Сообщение от тоже Аноним (ok) on 29-Окт-15, 17:21
> теоретически атака может быть адаптирована и для Linux Попробовал представить людей, которые могли заразить через Мускуль линуксовые сервера, но ограничились форточками. Ушел чинить сломанную фантазию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Атака на сервера MySQL с целью совершения DDoS-атак"	+2 +/–
Сообщение от Аноним (??) on 29-Окт-15, 17:21
>>загружается вредоносная встраиваемая процедура Напомните, какие привелегии надо добавить юзеру?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Атака на сервера MySQL с целью совершения DDoS-атак"	+2 +/–
	Сообщение от Аноним (??) on 29-Окт-15, 17:56
	GRANT ALL PRIVILEGES ...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Атака на сервера MySQL с целью совершения DDoS-атак"	+1 +/–
	Сообщение от Нимано on 29-Окт-15, 18:05
	Привилегии на ЧСВ > 9000 для многих вполне достаточно :) http://www.iodigitalsec.com/mysql-root-to-system-root-with-u.../ http://infamoussyn.com/2014/07/11/gaining-a-root-shell-using.../
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Атака на сервера MySQL с целью совершения DDoS-атак"	+2 +/–
	Сообщение от Ordu (ok) on 29-Окт-15, 18:48
	http://infamoussyn.com/2014/07/11/gaining-a-root-shell-using.../ > To do this, the following steps need to be taken: > 1. Turn off the MySQL service. > 2. Run the command on the datadir for the MySQL service (default is /var/lib/mysql). >        chown -R root:root /path/to/datadir > 3. Change the line “user=mysql” to “user=root” in the file /etc/my.cnf. [!!!!] > 4. Turn on the MySQL service. Мде... Одно непонятно: зачем такие сложности по созданию дыры? Может проще было запустить sshd, разрешив вход руту и поставив руту пароль root?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Нимано on 29-Окт-15, 19:02
	> Мде... Одно непонятно: зачем такие сложности по созданию дыры? Может проще было > запустить sshd, разрешив вход руту и поставив руту пароль root? Угу, а еще они там сами код для SO компильнули - вот ведь фейл какой. Из первой ссылки: [quote]Third, we then want to dump that table row out to a new file in either the ‘/usr/lib’ directory or the ‘c:\windows\system32’ directory depending on whether we are on Linux or Windows respectively. The reason we need to do this, is that our regular web application or user account ->does not have permission to create files in these directories, however the MySQL root user does.<-[/quote]
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	24. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Michael Shigorin (ok) on 30-Окт-15, 17:14
	> Может проще было запустить sshd, разрешив вход руту и поставив руту пароль root? Так PermitRootLogin without-password обломает.  Ну, если дистрибутив приличный.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

5. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
Сообщение от Сергей (??) on 29-Окт-15, 17:30
А собственно говоря чему тут удивляться, очень часто прикладные программеры не удосуживаются изучить возможности sql-ских и прочих движков в отношении прав пользователей, вот и ходят их программы к базам с правами dba, кричащий пример 1c 7.7 c движком на базе ms sql...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
Сообщение от Аноним (??) on 29-Окт-15, 17:36
Индия и вантуз, говорите? А это случайно не офисы сиско в бангалоре?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
Сообщение от Классический Анонимуз on 30-Окт-15, 05:03
Надо было трояна писать под Оракле. Там на порядок больше возможностей, а патчи ещё реже ставят, ибо Оракле их выпускает только под 12-ку, а остальные в пролёте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	27. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Чудак on 30-Окт-15, 22:17
	11.2.0.4 всё ещё патчится, но кому это интересно?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	29. "Атака на сервера MySQL с целью совершения DDoS-атак"	+/–
	Сообщение от Аноним (??) on 03-Ноя-15, 13:04
	Не надо трололо, оракл годами не закрывает дырки.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

18. "Атака на сервера MySQL с целью совершения DDoS-атак"	+6 +/–
Сообщение от Аноним (??) on 30-Окт-15, 06:40
> но теоретически атака может быть адаптирована и для Linux (применяемый троян Chikdos доступен и для Linux) Из описания атака: 1. Скопировать *.dll (или *.so для юникса) на целевой хост 2. При копировании надо поместить эту динамическую библиотеку в plugin_dir 3. Загрузить библиотеку как пользовательскую функцию или плагин к mysql Под unix системами mysql установлен от рута в систему (все файлы кроме datadir, логов и innodb файлов (которые обычно в datadir) принадлежат пользователю root и другие пользователи не имеют прав на запись в эти файлы и директории plugin_dir недоступен для записи во всех дистрибутивах или при ручной установке tar.gz архива от рута). При старте mysqld дропает root привилегии и работает от другого пользователя (обычно mysql:mysql). Итого для эксплуатации уязвимости нам надо получить root до того как мы запишем исполняемый файл UDF, а значит нет смысла во всей этой пляске с UDF и загрузками файлов через sql команды.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема