MySQL Bothttp://isc.sans.org/diary.php?isc=4...4622f2b63051e35近來國外傳出有人利用 "MySQL UDF Dynamic Library Exploit" 的安全漏
洞,撰寫一個 MySQL IRC Bot,透過 IRC server 對各網路上執行 MySQL
server 的電腦進行攻擊,特別是安裝在 Windows 上的 MySQL 更容易受害
。(其實不只 MySQL,連 M$ 的 SQL server 之前也曾遭殃)
這個 bot 附有一長傳的 MySQL 管理者密碼,會對 server 進行暴力破解,
一但攻入,會在 "mysql" 這個資料庫當中建立 "bla" 這個 table(
"mysql" 這個資料庫存有安裝資訊與使用者帳號密碼等重要資料),當
"bla" 建立後, bot 會寫入一堆資料到 table 中,接著用 'select *
from bla into dumpfile "app_result.dll" 製造一個名為
"app_result.dll" 的檔案。接著建立一個 "app_result" 函式,當這個函
式被執行時,會一起將 app_result.dll 一起執行,這個 bot 就這樣被載
入電腦當中了。接著,這個 bot 會連往其他 IRC server 的 port 5002
或 5003,並且導致 IRC server 無法接受其他連線。順便一提,這個 bot
會利用動態 DNS 進行連線,所以 IP 位址會不斷更換。接著 bot 會進入一
個名為 "#rampenstampen" 的頻道,標題是 "!adv.start mysql 80 10 0
132.x.x.x -a -r -s",接著 bot 會隨機掃描 "132.0.0.0/8" 這個網域的
IP,而且這個標題會不斷的變化,就連 10.0.0.0/8 也會受到波及。
這個 bot 被判定為 "Wootbot",具有 DDoS 引擎,可變化的掃描能力,
能向受感染的系統請求相關的資訊,另外他還具備 FTP server 與後門。
還好這個 bot 並沒有真正利用 MySQL 的漏洞,只要 root 的密碼加強
保護就可以避免掉。使用者可以透過下列方法增強保護能力:
1. 使用更難破解的密碼,特別是 root 帳號。
2. 限制 root 只能從 localhost 連線。
3. 增加防火牆的保護,只允許特定 server 存取防火牆中的資料庫。使用
ssh forwarding 與 SSL 加密保護通訊更好。(詳情請參見:
http://isc.sans.org/pap...mysql.pdf)
使用者必須注意 port 3306 (
http://isc.sans.org/port_details....epax=1&tarax=1)是
否有異常狀況發生。
順帶一提,這個 bot 名叫 SPOOLCLL.EXE (md5sum:18d3fe6ebabc4bed7008a9d3cb3713b9)
會建立一個 "evmon" 的 service。