LINUX.ORG.RU

Новый червь распостраняется по Internet через MySQL


0

0

Новая черве-подобная угроза распостраняется по Internet через MySQL заражая компьютеры на которых запущены open source база данных MySQL. Тисячи машин с Microsoft Windows на которых запущена MySQL уже заражены, по сообщениям экспертов безопастности.

>>> Подробности

надо было бы уточнить, что _только_ через mysql под win32..

kjkj
()

Смешно :)) во всем виноват опенсоурс... одно непонятно зачем они MySQL -ом в тырнет отсвечивают...

angel_il ★★★★
()
Ответ на: комментарий от kes

Без этого червь распространяться не будет, потому и выставляют.

Lumi ★★★★★
()
Ответ на: комментарий от dip

Я может чего и не понимаю, но там же английским языком написано: "It infects machines by exploiting loosely secured MySQL installations running on Windows machines connected to the Internet."
Насколько я понял - заражаются только windows-машины с установленым MySQL-сервером.
Поправте если я не прав

daemon73 ★★
()
Ответ на: комментарий от dip

> машины с Линухом тоже могут заболеть заразой

судя по новости - нет

вообще те, кто делают инет-сервера под win - сами себе буратино

а вообще странно, разработчики MySQL обычно хорошо вылизывают код и я думаю, что червь попадает на машину через какую-нибудь очередную дыру незакрытой win, а уже для распространения использует mysql

и у меня есть подозрение, что эта новость наподобе той, где писали о громадной ошибке безопасности в версиях 4.1 и 5, хотя обе на тот момент были в статусе alpha

vadiml ★★★★★
()
Ответ на: комментарий от vadiml

> а вообще странно, разработчики MySQL обычно хорошо вылизывают код и я думаю, что червь попадает на машину через какую-нибудь очередную дыру незакрытой win, а уже для распространения использует mysql

> и у меня есть подозрение, что эта новость наподобе той, где писали о громадной ошибке безопасности в версиях 4.1 и 5, хотя обе на тот момент были в статусе alpha

Да, наверное, админ оставляет дистрибутивный my.cnf, да ещё пароль какой-нибудь myadmin:mypassword, вот и заражается.

anonymous
()
Ответ на: комментарий от anonymous

Гы, ну точно:

> To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

Короче, машина должна торчать в интернет mysql-ем, и рутовый пароль должен быть один из утверждённого Forbot списка :) Это пять!

Охренительный эксплойт - только рутовый пароль надо знать.

anonymous
()

В общем, FUD типовой, стандартного образца. "Если червь узнает пароль к вашему mysql, то он его сломает, поэтому MS SQL server лучше".

anonymous
()
Ответ на: комментарий от anonymous

Значит червь распространяется таким образом: ищет машины с открытым портом 3306, пытается залогонится root с дефолтным паролем. Если ему это удается, то червь делает INSERT в таблицу своего образа, потом делает SELECT bin INTO OUTFILE 'ttt.dll'; Ну а потом задействуется этот dll для дальнейшего распространения.

bizon
()

>Тисячи машин с Microsoft Windows [...]

"Тисячи" машин говорите?! ;-)))

php-coder ★★★★★
()
Ответ на: комментарий от anonymous

>To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

"Чтобы быть зараженным, MySQL должен быть настроен так чтобы пользователь root мог логиниться с удаленной машины. По умолчанию пользователю root разрешено логинться только с локальной машины. Также пользователь root должен иметь пароль указаный в списке Forbot." - сказал Ульрих.

При этих условиях Ssh - еще более злостный рассадник заразы. Да и апач, к примеру, недалеко ушел.

Вспоминатеся: "НТП в сфере ИТ - это соервнование между программистами, пишущими софт, который мог бы использовтаь любой идиот, и природой, которая плодит все более тупых идиотов и неизменно лидирует".

anonymous
()
Ответ на: комментарий от Sorcerer

>Нет, они его плохо вылизывают.

А причем здесь код mysql? Приведеннвм выше примером про dll можно завалить что угодно. И не только через mysql. Надо только чтоб админ настроил права доступа для процесса соответсвующим образом. А червяк сей - полезная штука, своеобразный тест на профессиональную пригодность администратора.

anonymous
()

> The worm gets initial access to a database machine by guessing the password of the system administrator, using common passwords

LOL!

anonymous
()
Ответ на: комментарий от anonymous

>> Нет, они его плохо вылизывают.

> А причем здесь код mysql?

При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

Sorcerer ★★★★★
()
Ответ на: комментарий от Sorcerer

> При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

Гы. Не, я уже привык, что посетители ЛОР не читают исходный текст новости. Но, как оказалось, обсуждение тоже не читают %))) "Чукча писатель", да?

Тут же (на форуме) уже перевели - это НЕ уязвимость MySQL! "Разруха ... в головах!" (с) Преображенский. Если идиот-админ установил рут-пароль на сервак из серии "root:God", при этом выставив этот SQL вовне, то кто ему доктор? Oracle тоже будет сплошной дыркой в таком случае. И MS SQL.

PAL
()

Хм.. как я понимаю, должна быть ещё открыта привелегия "FILE" для админа.. Возможно mySQL должен искулючить эту привелегию из default конфигурации ..

Ьорльше никакой вины mySQL я не вижу..

anonymous
()
Ответ на: комментарий от anonymous

> В общем, FUD типовой, стандартного образца. "Если червь узнает пароль к вашему mysql, то он его сломает, поэтому MS SQL server лучше".

Не надо с больной головы на здоровую валить! Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под вынью?

macavity
()
Ответ на: комментарий от macavity

>Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под

Доля Oracle в интернете исчезающе мала

anonymous
()

не стоило бы MySQL вообще под винды порты делать... оно же для их репутации лучше было бы.. а то, пошли на поводу дешёвой популяризации, а теперь пожинают, так сказать, плоды.. на виндах, как всегда, если не система, то уж пользователь точно делов накуролесит, и если с первым хотя бы можно как-то бороться и справляться.. то со вторым... занятие безнадёжное..

MiracleMan ★★★★★
()
Ответ на: комментарий от Sorcerer

> 2PAL: А где я утверждал, что обсуждаемый червь ходит через _уязвимость_ mysql?

Бр-р-р. А это тогда чего? 8-O

>=====

>При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

>=====

Слова " ...кода mysql .... сообщение об уязвимости в нем" как иначе понимать???

PAL
()
Ответ на: комментарий от macavity

> Не надо с больной головы на здоровую валить! Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под вынью?

IMO, чтобы нормально поднять Oracle, надо голову на плечах иметь %))) Те, кто запускает такие серваки, ляпов с паролями не допускают в силу своего профессионализма.

PAL
()
Ответ на: комментарий от PAL

> IMO, чтобы нормально поднять Oracle, надо голову на плечах иметь %))) Те, кто запускает такие серваки, ляпов с паролями не допускают в силу своего профессионализма.

Фигня. Неоднократно видел в очень серьёзных местах ситуацию, когда пароль и SID совпадали. Правда, с файрволами там всё хорошо было.

anonymous
()

Как я понял ломают тех кто не установил в mysql пароль root. По умолчанию пароля нет, предпологается что установив mysql server администратор позаботится о такой вещи как пароль администратора :) Дык просто админы дубы сами себе злобные буратины (этим кстати объясняется почему ломают именно в уиндовс :)))

cpu
()
Ответ на: комментарий от bizon

>Если ему это удается, то червь делает INSERT в таблицу своего образа, >потом делает SELECT bin INTO OUTFILE 'ttt.dll';
insert/select понятно

>Ну а потом задействуется этот dll для дальнейшего распространения.
А это простите как ? Или он подменяет dll самого mysql или используемый масдаем ?

cpu
()
Ответ на: комментарий от PAL

> Бр-р-р.

Еще более подробное разжевывание: vadiml, не зная, как расценивать данное сообщение, - как уязвимость mysql или что-то еще, - сразу отверг первый вариант в силу убежденности в качестве кода. Я всего лишь сказал, что нельзя недооценивать "мастерство" писателей mysql.

Sorcerer ★★★★★
()
Ответ на: комментарий от kes

когда этот mysql нужен еще десятку машин, стоящих по-соседству. А вот только нафига разрешать удаленно коннектится руту, так это уже грустно конечно. Малого того, ведь есть GRANT ALL ON ... TO root@ip .... нахрена на весь инет то светится?

mrdeath ★★★★★
()
Ответ на: комментарий от Sorcerer

лично знаю троих разработчиков mysql и это далеко не дураки. можно узнать, что вы сами пишете?

anonymous
()
Ответ на: комментарий от cpu

> Кстати когда же они сохраненные процедуры прикрутят ?

Могу спросить - у меня знакомый там работает

anonymous
()
Ответ на: комментарий от anonymous

>Могу спросить - у меня знакомый там работает
Было бы интересно.

cpu
()
Ответ на: комментарий от anonymous

> лично знаю троих разработчиков mysql и это далеко не дураки

Вполне верю. Если бы mysql делали одни дураки, ею было бы невозможно пользоваться. :)

> можно узнать, что вы сами пишете?

Нет.

Sorcerer ★★★★★
()
Ответ на: комментарий от Sorcerer

>> лично знаю троих разработчиков mysql и это далеко не дураки

> Вполне верю. Если бы mysql делали одни дураки, ею было бы невозможно пользоваться. :)

>> можно узнать, что вы сами пишете?

> Нет.

Уважаемый Sorcerer, Вам непременно стоит посетить вот эту страничку... http://lleo.aha.ru/na/

Потом вернуться и прочесть: либо Вам стыдно за тот софт, который вы разрабатываете, либо вы ничего не разрабатываете, но имеете наглость хаять незнакомых Вам людей, делающих то, что Вы неспособны сделать сами.

p.s. Готов взять свои слова назад и извиниться, если вы покажете свой код, БД или хотя бы пару багрепортов, отосланных Вами MySQL Team - как подтеверждение того, что они плохо пишут код.

onz
()
Ответ на: комментарий от HellAngel

Что верно, то верно. :)

Кстати, кто-нибудь знает, как mysql будет хранить записи в таблице типа heap с двумя полями - строками максимальной длиной 300 символов каждая, - как записи фиксированной длины ~600 символов или длина будет динамической и зависеть от длин хранящихся строк?

Sorcerer ★★★★★
()

>Тисячи машин с Microsoft Windows на которых запущена MySQL уже заражены, по сообщениям экспертов безопастности.

Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

Ведь там отлично работает Microsoft SQL Server.

Sun-ch
()
Ответ на: комментарий от Sun-ch

> Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

> Ведь там отлично работает Microsoft SQL Server.

Те, кому по задаче не нужны триггера, хранимки и прочие вкусности T-SQL, при этом неохота платить за доп. лицензии.

onz
()

The new version of Forbot infects machines by taking advantage of <i>administrator accounts with weak or nonexistent passwords</i>. The worm cracks the accounts by trying values from a predefined list of around 1,000 possible passwords, Ullrich said.

А если пароля не окажится в этой 1000, то червь обломится, я правильно понял? Если так, то это не серьезно.

anonymous
()
Ответ на: комментарий от Sorcerer

> Кстати, кто-нибудь знает, как mysql будет хранить записи в таблице типа heap с двумя полями - строками

Если тип символьный - то фиксированный Если мемо - то динамически, и прийдется переодически говорить optimize "штоп не пух".

anonymous
()
Ответ на: комментарий от mrdeath

> нахрена на весь инет то светится?

А в мануале по Ф1 не сказано - "не светиться".

anonymous
()

Forbot - это мобильный backdoor, а не червь...

hinote
()
Ответ на: комментарий от Sun-ch

> Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

Элементарно Ватсон, это веб-девелоперы.

anonymous
()

а правда, много дураков его открытым держат? бд это ж потенциально дырявый продукт, на безопасность никогда времени не хватает, буть он фришный или платный.

divisor
()
Ответ на: комментарий от PAL

> Если идиот-админ установил рут-пароль на сервак из серии "root:God"

Вот я, например, не мог и подумать до просмотра кино "Хэкеры", что пароль "GOD" вообще можно догадаться поставить, а уж тем более на рут.

По сабжу, уже всё сказали - мускл здесь ни при чём.. Хотя сама идея выполнения бинарного файла при помощи селекта кажется, мягко говоря, дикой

sakura-obscura
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.