quarta-feira, fevereiro 02, 2005

MySQL Bot




Fonte:



O CAIS está acompanhando desde 26/01/05 a atividade do MySQL bot relatada pelo SANS ISC, que explora o banco de dados MySQL instalado sob a plataforma Windows. O CAIS já detectou a atividade deste bot no backbone da RNP através de seus sensores.

Como todo bot típico, ele irá tentar se conectar a servidores IRC utilizando, entretanto, as portas 5002 ou 5003, assim que um novo sistema for infectado. A lista de servidores IRC aos quais esse bot se conecta é a seguinte:
































HostnameIP
dummylandingzone.dyndns.org host não encontrado
landingzone.dynamic-ip.us 212.105.105.214 (nem sempre encontrado)
dummylandingzone.dns2go.com 63.64.164.91 e 63.149.6.91
dummylandingzone.hn.org 212.105.105.214
dummylandingzone.dynu.com 212.105.105.214 (desabilitado)
zmoker.dns2go.com 63.64.164.91
landingzone.dynu.com 212.105.105.214 (desabilitado)
landingzone.ath.cx 212.105.105.214
dummylandingzone.ipupdater.com 212.105.105.214


Os servidores IRC, por sua vez, instruem os bots a varrer redes 0.0.0.0/8 em busca de servidores MySQL rodando na porta 3306/TCP. Uma vez encontrado, o servidor MySQL sofre um ataque de forca bruta iniciado pelo bot, que utiliza senhas incluidas em seu próprio código para conseguir autenticação como usuário 'root' ao banco de dados. Em seguida, o bot utiliza o exploit "MySQL UDF Dynamic Library" para executar e instalar código malicioso, completando assim a infecção do sistema.

Até o momento, o bot foi identificado como uma versão do bot 'Wootbot'. Além das características usuais (mecanismo de DDoS e execução de comandos para coletar informações sobre o sistema), este bot possui um servidor FTP e um backdoor que escuta nas portas 2301/TCP e 2304/TCP.


Sistemas afetados:

  • MySQL instalado na plataforma Windows e com o usuário 'root' do banco de dados possuindo senha fraca.

Correções disponíveis:


Não foram divulgadas correções até o momento.
No entanto, existem algumas medidas paliativas:

  • utilizar senha forte para o usuário root

  • restringir o acesso do usuario 'root' a determinados hosts, preferencialmente localhost (127.0.0.1)

  • bloquear o acesso à porta 3306/TCP no firewall

Mais informações:


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF :
http://www.rnp.br/cais/alertas/rss.xml

Nenhum comentário:

Postar um comentário

Aúncio