Un codicillo si annida in MySQL

Capace di tendere agguati da IRC, un nuovo bot prende di mira i server Windows su cui gira MySQL tentando di forzare la password per l'account di root. Migliaia i sistemi già infettati

Roma - Un tarlo capace di insinuarsi all'interno di alcuni server di database e prenderne il controllo. Questo, in estrema sintesi, l'identikit di un nuovo bot che verso la fine della scorsa settimana ha infettato oltre 8.000 sistemi su cui girava MySQL per Windows.

Chiamato "MySQL bot", il codice malevolo è la variante di un ceppo di bot capaci di infettare un sistema attraverso IRC e di sfruttare questo stesso mezzo per ricevere comandi dal proprio "padrone". La nuova variante è una delle prime a prendere di mira la versione per Windows del noto database open source MySQL.

Una volta dentro ad un sistema, il bot cerca di autenticarsi all'interno del database MySQL come utente "root": il programma tenta di indovinare la password utilizzando un attacco di forza bruta basato su di un nutrito dizionario di termini comuni. Se la password è molto corta o molto semplice, il bot potrebbe essere in grado di trovarla nel giro di pochi secondi.
Nel caso riesca a forzare il database, MySQL bot utilizza una funzione chiamata User Defined Function (UDF) per caricare in memoria il codice malevolo contenuto all'interno di un file salvato in precedenza con il nome di app_result.dll. A questo punto il bot tenta di connettersi ad alcuni server IRC per ricevere nuove istruzioni: una di queste comandava al codicillo di scandire la rete, inclusa quella locale, alla ricerca di altri server potenzialmente vulnerabili.

Il SANS Institute ha detto che la diffusione del bot è stata fermata lo scorso venerdì con la chiusura di tutti i canali IRC da cui veniva diffuso e controllato.

MySQL AB, la società svedese che sviluppa l'omonimo database open source, ha tenuto a sottolineare come il nuovo bot non sfrutti alcuna vulnerabilità del proprio software: la "camola" digitale fa unicamente leva su alcune debolezze nella configurazione di sicurezza di reti e server.

Sia MySQL AB che il SANS Institute suggeriscono agli amministratori di prevenire questo genere di attacchi adottando password più robuste, restringendo l'accesso all'account di root ai soli host fidati e istruendo i firewall affinché blocchino l'accesso, dall'esterno, ad alcune porte del server.

L'advisory pubblicato dal SANS Institute si trova qui.
TAG: sicurezza
21 Commenti alla Notizia Un codicillo si annida in MySQL
Ordina
  • Scusate l'ignoranza ma...

    "[...]il programma tenta di indovinare la password utilizzando un attacco di forza bruta basato su di un nutrito dizionario di termini comuni".

    Credevo che un attacco forza bruta tentasse tutte le combinazioni alfanumeriche possibili, e che uno a dizionario provasse solo con determinate parole. Quindi, o li usa entrambi, oppure l'attacco a forza bruta NON è basato su un dizionario.

    Può darsi anche che stia dicendo una GIGANTESCA stupidaggine.Imbarazzato
    non+autenticato
  • Beh ma in fondo il meccanismo dei due attacchi e' lo stesso, cambia solo la scelta delle password da provare.
    non+autenticato
  • Ciao a tutti,
    a parte la password seria da settare mi sembra assurdo avere la porta 3306 aperta al mondo...
    firewall... questo sconosciuto... A bocca aperta

    Byez, MaxFan Linux

  • - Scritto da: maxgrante

    > a parte la password seria da settare mi
    > sembra assurdo avere la porta 3306 aperta al
    > mondo...
    > firewall... questo sconosciuto...A bocca aperta

    O, se e' il caso, dire a MySQL di ascoltare solo su 127.0.0.1
    Certa gente proprio se le cerca ...
    11237
  • magari a qualcuno serve poter accedere al srv mysql anche da computer esterni?
    non+autenticato
  • Capisco, ma è un caso remotissimo.
    Al massimo c'è un'applicazione web accessibile da remoto ma il DB è cosa rarissima...

    Byez. Max

  • - Scritto da: maxgrante
    > Ciao a tutti,
    > a parte la password seria da settare mi
    > sembra assurdo avere la porta 3306 aperta al
    > mondo...
    > firewall... questo sconosciuto...A bocca aperta
    >
    > Byez, MaxFan Linux

    Il problema e' che se si fosse trattato di SQL Server, sareste tutti qui a dire "che schifo di sw, MS fai schifo, bla bla...". Mysql? Tutti zitti e responsabili.
    non+autenticato


  • >
    > Il problema e' che se si fosse trattato di
    > SQL Server, sareste tutti qui a dire "che
    > schifo di sw, MS fai schifo, bla bla...".
    > Mysql? Tutti zitti e responsabili.

    Scusa ma forse ti è sfuggito il fatto che non si tratta di un bug di MYSQL....

    Sorride
    non+autenticato

  • Clap..clap..clap....
    Amministratori di qua, sys-admin incompetenti, bla..bla..bla...
    Su questo forum se sentono sempre le solite ca***te....

    Allora perchè non li fate voi gli amministratori visto che siete tanto bravi e a avete tutte le soluzioni?!?!?

    Andate a fare i sys-admin và, invece di passare il tempo a sparlare sulle spalle degli altri.....

    non+autenticato


  • > Andate a fare i sys-admin và, invece
    > di passare il tempo a sparlare sulle spalle
    > degli altri.....

    bah, io me ne sto in panciolle come sysadmin, perchè faccio bene il mio lavoro e quindi so che cosa avrebbero dovuto fare loro.

    e passo il mio tempo meritatamente libero a fare il cazzo che mi pare, e se non sei d'accordo somatizza pure.


    arrivo , faccio in fretta i miei controlli, cerco di dare sistematine dove e se servono, e poi imparo roba nuova, roba che potrebbe servire.
    Se sono stato sufficientemente intelligente, nel giro di un anno serve e io la so già fare.

    fineSorride
    non+autenticato
  • - Scritto da: Anonimo
    > Clap..clap..clap....
    > Amministratori di qua, sys-admin
    > incompetenti, bla..bla..bla...

    server in dmz e regole di firewalling opportune

    > [snip]
    > Allora perchè non li fate voi gli
    > amministratori visto che siete tanto bravi e
    > a avete tutte le soluzioni?!?!?

    bash# man iptables

    > Andate a fare i sys-admin và, invece
    > di passare il tempo a sparlare sulle spalle
    > degli altri.....

    infattiSorride
    have a nice day Fan Linux
    KC
    91
  • Oltre al fatto d'immaginare una pass con tutti i santi crismi, devo pensare che chi l'ha impostata di solito ne gestisce almeno un'altra ventina.

    come ca..o si fa a ricordare tutti questi codici alfanumerici?

    il bot si appoggia ad un bug umano.
    non+autenticato

  • - Scritto da: Anonimo
    > Oltre al fatto d'immaginare una pass con
    > tutti i santi crismi, devo pensare che chi
    > l'ha impostata di solito ne gestisce almeno
    > un'altra ventina.
    >
    > come ca..o si fa a ricordare tutti questi
    > codici alfanumerici?

    foglietto in tasca con una crittografia semplice ma personale.

    programmino di gestione password e assistenza in remoto

    programmino di gestione password e trasferimento crittografico di UNA password alla volta su foglietto con crittografia semplice ma personale

    programmino di gestione password e per 5 secondi te la ricordi a memoria

    programmino auto-gestito di generazione password basata su elementi hardware o software che necessitano della password o degli utenti che ne fanno uso

    pensare.
    non+autenticato
  • Ad esempio:

    http://sourceforge.net/projects/oubliette/

    Ma ce ne sono molti altri. Il file con le password può stare tranquillamente su un "chiavetta" USB, magari in una partizione opportunamente crittata - meglio se con una copia in un luogo "sicuro".

    Se poi appiccichi i post-it sotto la tastiera...
  • Se volte fare gli amministratori almeno rispettate tale nome e mettete una user e pass piu' complicata...ma porca miseria mysql e' cosi' rompipalle da quasi obbligare l'utente a cambiare i dati di root ...e la documentazione? La vogliamo leggere se installiamo mysql per la prima volta? Ma porca miseria si puo' essere cosi' deficienti ? Io non lo so....

    bY sLASh3r
    non+autenticato
  • hahahah

    user: root
    password: changeme

    :|:|:|:|:|:|:|:|:|:|:|:|:|


    Fan Linux
    non+autenticato

  • - Scritto da: Anonimo
    > hahahah
    >
    > user: root
    > password: changeme
    >
    >Deluso:|:|:|:|:|:|:|:|:|:|:|:|
    >
    >
    > Fan Linux

    Si, amministratori di condominio.
    Sai quante volte ho trovato Micozozz SQL Server configurato con utente sa e password sa ....?:p:p:p:p:p:p:p
    non+autenticato

  • pensa che io fino a ieri avevo la password del router come da fabbrica Sorride

    mai successo niente.

    avrò culo, no?

    ;-P
    non+autenticato

  • - Scritto da: Anonimo
    > Sai quante volte ho trovato Micozozz SQL
    > Server configurato con utente sa e password
    > sa ....?:p:p:p:p:p:p:p

    beh, nel passato era nome utente "sa" e password vuota......In lacrimeIn lacrimeIn lacrime

  • - Scritto da: Anonimo
    > Se volte fare gli amministratori almeno
    > rispettate tale nome e mettete una user e
    > pass piu' complicata...ma porca miseria
    > mysql e' cosi' rompipalle da quasi obbligare
    > l'utente a cambiare i dati di root ...e la
    > documentazione? La vogliamo leggere se
    > installiamo mysql per la prima volta? Ma
    > porca miseria si puo' essere cosi'
    > deficienti ? Io non lo so....

    che problemi hai?
    se lo sai fare, lo hai fatto.
    altrimenti sono cazzi loro.
    non+autenticato
  • Certo volevo essere altruista! Tsk! non va mai bene niente...non bisognerebbe aiutare il prossimo?Occhiolino


    By sLaSh3r

    - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Se volte fare gli amministratori almeno
    > > rispettate tale nome e mettete una user
    > e
    > > pass piu' complicata...ma porca miseria
    > > mysql e' cosi' rompipalle da quasi
    > obbligare
    > > l'utente a cambiare i dati di root ...e
    > la
    > > documentazione? La vogliamo leggere se
    > > installiamo mysql per la prima volta? Ma
    > > porca miseria si puo' essere cosi'
    > > deficienti ? Io non lo so....
    >
    > che problemi hai?
    > se lo sai fare, lo hai fatto.
    > altrimenti sono cazzi loro.
    non+autenticato