На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2005-1-28 на главную / новости от 2005-1-28
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 28 января 2005 г.

Червь MySQL поражает Windows-системы

В системах баз данных начал распространяться червь, использующий неудачный выбор пароля администратором.

Злокачественная программа, которую называют MySQL bot или, по имени исполняемого файла, SpoolCLL заражает компьютеры с операционной системой Microsoft Windows и базой данных open source MySQL. Об этом сообщила организация Internet Storm Center в своем предупреждении, опубликованном в четверг. Судя по предварительным оценкам, к настоящему моменту может быть заражено свыше 8000 компьютеров, утверждает эта группа, наблюдающая за угрозами в сети.

Сначала червь получает доступ к базе данных, угадывая пароль системного администратора при помощи списка часто используемых паролей. Затем, воспользовавшись пробелом в защите MySQL, он исполняет так называемую бот-программу, которая полностью овладевает системой. «К боту прилагается длинный список паролей, и он взламывает систему методом грубой силы», — говорится в предупреждении Internet Storm Center.

Тем, что она заражает Windows-системы, исполняющие ПО баз данных, программа напоминает червя Slammer, широко распространившегося почти два года назад. Однако, в отличие от Slammer, от червя SpoolCLL защищает надежный пароль. К тому же базы данных MySQL гораздо чаще устанавливаются с операционными системами open source, такими как Linux. Это означает, что бот MySQL способен поразить лишь небольшое число компьютеров, подключенных к интернету.

Дефект, используемый червем для получения контроля над уязвимой системой, был обнаружен в середине 2004 года, а код, использующий этот дефект, — опубликован в конце декабря. Уязвимость, известная как MySQL UDF Dynamic Libray, вызвана тем, что программное обеспечение базы данных не производит адекватной проверки определяемых пользователем функций (UDF). Исправлена ли эта ошибка, неизвестно.

Компьютеры, зараженные червем, пытаются подключиться к одному из нескольких серверов Internet Relay Chat, чтобы получить новые цели и обновления, сообщает Internet Storm Center. Обследование серверов IRC показало 8500 подключенных хостов, что может указывать на то, что эти компьютеры заражены, хотя исследователи остерегаются давать количественные оценки. «Этот бот может использовать для своего распространения и другие механизмы, — говорит старший специалист секьюрити-фирмы LURHQ и участник анализа Internet Storm Center Джо Стюарт. — Мы не можем сказать наверняка, что все 8500 компьютеров заражены именно этим эксплойтом».
Обсуждение и комментарии

Desperado
28 Jan 2005 7:59 PM
This worm does not exploit any bugs in MySQL. It does exploit poor
security setups for firewalls and passwords.

http://lists.mysql.com/announce/256

кому верить ?
 

a7 - asas.ss
29 Jan 2005 7:14 AM
Только не автору этой новости.

" червь получает доступ к базе данных, угадывая пароль системного администратора при помощи списка часто используемых паролей."

Офигенная дыра. Аж грустно.
 

A
30 Jan 2005 4:24 AM
http://www.nwfusion.com/news/2005/0127newworm.html :

To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

-

Это ж еще постараться нужно, чтобы быть подверженым такой атаке.
 

Не Лох
31 Jan 2005 12:15 AM
:))

А че, действительно дыра....в головах некоторых пользователей MySQL. И эту дыру действительно можно атаковать. Тут уж никаким патчем не поможешь.
 

Bosch
31 Jan 2005 1:22 PM
Несчастному червю потребуется бездна времени, чтобы выяснить мой пароль...
 

A
31 Jan 2005 8:58 PM
2 Bosch:

Не волнуйся. Если на подбор пароля к W2k Server уходит 5 минут на P4 2.0, то на подбор твоего пароля уйдет максимум месяц. Это если он задействует половину клавиатуры :)
 

Bosch
31 Jan 2005 9:51 PM
2 А
Не волнуюсь... Просто жалко того идиота, который потратит целый месяц на то, чтобы проникнуть в совершенно не интересующий его комп... =)
 

A
31 Jan 2005 10:05 PM
> Просто жалко того идиота, который потратит целый месяц на то, чтобы проникнуть
> в совершенно не интересующий его комп... =)

:)
Вопрос - он потратит месяц, или его настенный компутер ?
 

Bosch
1 Feb 2005 9:18 PM
Вопрос другой... Это червь! Или он ограничивается "наиболее частыми" паролями... или он выходит наружу за обновлениями базы данных... Вобщем, забей. Этот червь копает мимо моего тоннеля. Жду того червя, который меня сумеет-таки прогрызть...
 

 

← декабрь 2004 22  23  24  25  26  27  28  30  31 февраль 2005 →
Реклама!
 

 

Место для Вашей рекламы!