Punto informatico Network

20080829215405

MySQL sotto attacco

31/01/2005
- A cura di
Zane.
Archivio - È in corso un vasto attacco ai sistemi MySQL non debitamente configurati. Massima priorità.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

attacco (1) , mysql (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 225 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Un massiccio attacco ai server MySQL mal amministrati è stato avviato da un anonimo gruppo di cracker durante il fine settimana appena trascorso.

Utilizzando un bot ora noto come MySpooler, il gruppo ha già preso possesso di un vasto numero di server, che, secondo alcuni istituti di rilevazione, durante la giornata di sabato sono cresciuti al ritmo di 100 per minuto. Http://dev.mysql.com/common/img/MySQL.png

MySQL AB, il gruppo che sviluppa e distribuisce il celebre database open source, ha comunque tenuto a precisare che non si tratta di una vera e propria vulnerabilità del prodotto, ma dell'incuria posta dagli amministratori nella scelta della password: una volta identificata una macchina server con MySQL in esecuzione, il bot tenta infatti un attacco di forza bruta verso l'account root, utilizzando una serie di password presenti in una lista predefinita per accedere al sistema.

Una volta scoperta la password di root, il bot utilizza una funzionalità nota come User Defined Function (UDF) del database per scaricare ed eseguire MySQL UDF Worm un verme che permette ad un utente ostile di prendere pieno controllo dei sistemi infettati: potrebbe inoltre utilizzare il sistema aggredito come testa di ponte verso assalti di gruppo, ad esempio in attacchi di tipo Distributed Denial of Service rivolti verso terze parti.

Non contento, il worm tenta di replicarsi su tutti i server MySQL raggiungibili dalla macchina infettata.

Il SANS Internet Storm Center ha rilevato fino ad ora più di 10.000 connessioni al server IRC che distribuisce il worm e le istruzioni di propagazione, cifra destinata comunque a crescere ancora nelle prossime ore.

Il gruppo MySQL AB consiglia di controllare le proprie password alla prima occasione, e di utilizzare il comando DROP FUNCTION app_result; sul database dei permessi mysql per pulire eventuali infezioni.

È inoltre raccomandabile per tutti gli amministratori di rete bloccare il traffico da remoto sulla porta 3306 TCP.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.71 sec.
    •  | Utenti conn.: 90
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.2