Fonte:
O CAIS está acompanhando desde 26/01/05 a atividade do MySQL bot relatada pelo SANS ISC, que explora o banco de dados MySQL instalado sob a plataforma Windows. O CAIS já detectou a atividade deste bot no backbone da RNP através de seus sensores.
Como todo bot típico, ele irá tentar se conectar a servidores IRC utilizando, entretanto, as portas 5002 ou 5003, assim que um novo sistema for infectado. A lista de servidores IRC aos quais esse bot se conecta é a seguinte:
| Hostname | IP |
| dummylandingzone.dyndns.org | host não encontrado |
| landingzone.dynamic-ip.us | 212.105.105.214 (nem sempre encontrado) |
| dummylandingzone.dns2go.com | 63.64.164.91 e 63.149.6.91 |
| dummylandingzone.hn.org | 212.105.105.214 |
| dummylandingzone.dynu.com | 212.105.105.214 (desabilitado) |
| zmoker.dns2go.com | 63.64.164.91 |
| landingzone.dynu.com | 212.105.105.214 (desabilitado) |
| landingzone.ath.cx | 212.105.105.214 |
| dummylandingzone.ipupdater.com | 212.105.105.214 |
Os servidores IRC, por sua vez, instruem os bots a varrer redes 0.0.0.0/8 em busca de servidores MySQL rodando na porta 3306/TCP. Uma vez encontrado, o servidor MySQL sofre um ataque de forca bruta iniciado pelo bot, que utiliza senhas incluidas em seu próprio código para conseguir autenticação como usuário 'root' ao banco de dados. Em seguida, o bot utiliza o exploit "MySQL UDF Dynamic Library" para executar e instalar código malicioso, completando assim a infecção do sistema.
Até o momento, o bot foi identificado como uma versão do bot 'Wootbot'. Além das características usuais (mecanismo de DDoS e execução de comandos para coletar informações sobre o sistema), este bot possui um servidor FTP e um backdoor que escuta nas portas 2301/TCP e 2304/TCP.
Sistemas afetados:
- MySQL instalado na plataforma Windows e com o usuário 'root' do banco de dados possuindo senha fraca.
Correções disponíveis:
Não foram divulgadas correções até o momento.
No entanto, existem algumas medidas paliativas:
- utilizar senha forte para o usuário root
- restringir o acesso do usuario 'root' a determinados hosts, preferencialmente localhost (127.0.0.1)
- bloquear o acesso à porta 3306/TCP no firewall
Mais informações:
- SANS ISC Handler's Diary January 26th 2005 - Possible MySQL Bot
- SANS ISC Handler's Diary January 27th 2005 - MySQL Bot
- SecuriTeam.com - MySQL UDF Dynamic Library Exploit
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF :
http://www.rnp.br/cais/alertas/rss.xml
Os Alertas do CAIS também são oferecidos no formato RSS/RDF :
http://www.rnp.br/cais/alertas/rss.xml
Nenhum comentário:
Postar um comentário