gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
MySQL Worm "on the wild"
Contribuído por scorpio em 30-01-05 2:00
do departamento hax
Teenagers com demasiado tempo livre... leitao escreve "A SANS identificou um worm que explora o MySQL que esta' neste momento a espalhar-se a cerca de 100 infeccoes por minuto -- um ritmo semelhante ao do SQL Slammer em 2003. O ISC neste momento ja' detectou um aumento significativo de scans 'a porta 3306. "

Open Solaris arranca | Ciclo de debates sobre Processo de Bolonha na UL  >

 

gildot Login
Login:

Password:

Referências
  • ZDNet
  • SANS
  • worm que explora o MySQL
  • SQL Slammer
  • detectou um aumento significativo de scans 'a porta 3306
  • Mais acerca Teenagers com demasiado tempo livre...
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    só para completar... (Pontos:3, Informativo)
    por bêbado em 30-01-05 2:07 GMT (#1)
    (Utilizador Info)
    "The National Infrastructure Security Co-ordination Centre (NISCC) has issued an alert over the MySpooler worm reported yesterday, which threatens Windows servers with weak passwords for root access to MySQL."

    Government concerned about MySpooler worm

    ~~~ O vinho é q'induca e o fado é q'instrói ~~~
    Re:só para completar... (Pontos:3, Informativo)
    por bêbado em 30-01-05 2:15 GMT (#2)
    (Utilizador Info)
    ... e ainda:

    "This worm does not exploit any bugs in MySQL. It does exploit poor security setups for firewalls and passwords.

    This worm is Microsoft Windows specific; it is unlikely to infect any Linux or UNIX compatible environments."

    Security Alert 01/27/2005 [mysql.com]

    ~~~ O vinho é q'induca e o fado é q'instrói ~~~
    Porta 3306 (Pontos:2)
    por Ancestor em 30-01-05 6:46 GMT (#3)
    (Utilizador Info) http://www.norteglobal.com
    Eu realmente nunca percebi a necessidade extrema de tantos servidores (windows ou *nix) possuirem o MySQL a aceitarem conexões externas. Em máquinas com múltiplos utilizadores, a segurança do servidor é equivalente à robustez do username/password mais fraco em uso. O facto de muitos administradores nem se darem ao trabalho de mudar o super-utilizador, em conjunto com passwords fracas só facilita a vida a eventuais ferramentas de brute-force. Mesmo em casos em que o server está limitado em conexões outbound por ip, penso que é péssima política possuir uma máquina ligada à internet com este tipo de setup (ainda pra mais em windows!).
    Re:Porta 3306 (Pontos:2)
    por Lowgitek em 31-01-05 9:26 GMT (#13)
    (Utilizador Info)
    Um gajo que tenha o mysql "aberto a comunidade" numa máquina windows merece ter a cena infectada. Ok... esta bem... um gajo que use linux tambem não havia de escapar a sina...

    Dessa vez safaram-se.

    Um gajo realmente tem a vida muito dificultada no windows... já não posso imprimir lá no office, porque já não me deixam usar o netbios... já não posso usar o MS Sql Server, porque raios, volta e meia lixam-me aquilo,e agora essa, já não posso usar o mysql :(

    Estão aqui, e estão a dizer-me, que corro perigo em usar o IAS + IIS + .net, porque o windows não me oferece segurança o suficiente por si mesmo... tou mesmo a espera que me digam isso e desisto da profissão de idiota.

    Ancestor.... ahhh... é tão bom viver no mundo em que vivemos não é ;)


    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    TImeline (Pontos:2)
    por null em 30-01-05 10:37 GMT (#4)
    (Utilizador Info)
    Só uma pergunta, quando é que o Leitão submeteu o artigo? É que os servidores de IRC de onde vinham os ataques já foram controlados, segundo comentário de um representante da Symantec. E o ritmo até pode ser semelhante ao do Slamer, mas pelos vistos só o foi até Sexta-Feira...

    Artigo na CNet

    Fuga aos "impostos"?! Não há fuga aos "impostos" em portugal!!

    Re:TImeline (Pontos:1, Despropositado)
    por Init em 30-01-05 12:33 GMT (#5)
    (Utilizador Info)

    Não sei quando é que ele propos, mas eu na semana passada propus um artigo sobre outro tema, e ele não se encontra na lista de artigos que eu propus, nem como aceite, nem como rejeitado, nem como a aguardar aprovação. Isto é normal?


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Re:TImeline (Pontos:2)
    por null em 30-01-05 12:39 GMT (#6)
    (Utilizador Info)
    Umm, não sei, às vezes fico na ideia de ter submetido alguma coisa e depois dou-me conta que só fiz o preview :-).

    Fuga aos "impostos"?! Não há fuga aos "impostos" em portugal!!

    Re:TImeline (Pontos:2)
    por Ancestor em 30-01-05 17:54 GMT (#8)
    (Utilizador Info) http://www.norteglobal.com
    Por acaso fui agora ver, e o artigo que submeti sobre a release do FreeBSD 5.11 não aparece na lista (eu tinha assumido que tinha sido rejeitado :P)... Também foi algures na semana passada.
    Re:TImeline (Pontos:2)
    por null em 30-01-05 18:26 GMT (#9)
    (Utilizador Info)
    O servidor onde tá o gildot tá com jet-lag? Ou usa mysql? :-)

    Fuga aos "impostos"?! Não há fuga aos "impostos" em portugal!!

    Re:TImeline (Pontos:2)
    por Ancestor em 30-01-05 20:53 GMT (#11)
    (Utilizador Info) http://www.norteglobal.com
    A julgar pela poll, deve estar ausente em pré-campanha eleitoral...
    Re:TImeline (Pontos:2)
    por leitao em 30-01-05 16:04 GMT (#7)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Foi 'a mais de dois dias.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:TImeline (Pontos:1, Despropositado)
    por fhc em 30-01-05 23:19 GMT (#12)
    (Utilizador Info)

    Leitão, agradeço pelo artigo, foi oportuno. Mas da próxima vez peço-te que não omitas um facto que te deve ter passado despercebido: o worm corre SÓ em Microshit Winblows.

    O meu Linux está a salvo. Por outro lado, uso o postgres.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:TImeline (Pontos:1)
    por tonicensurado em 31-01-05 10:34 GMT (#14)
    (Utilizador Info)
    Está a salvo de que ? Da tua palermice nao ? Ate parece que não andam ai a correr bruteforcers para ssh e outros serviços... Oh sim, nao sao uma worm, sao manuais... Big deal... Geez...
    Re:TImeline (Pontos:2)
    por [Cliff] em 31-01-05 18:45 GMT (#16)
    (Utilizador Info) http://www.yimports.com/~cpinto
    Ate parece que não andam ai a correr bruteforcers para ssh

    uma questão, que pareces estar tão por dentro dessas coisas, quão fácil é entrar num ssh que só utiliza chave SSH quando o user não tem password e a chave ssh tem 1024 bits? :)

    ---
    Este espaço pode ser seu...
    Re:TImeline (Pontos:2, Informativo)
    por tonicensurado em 01-02-05 10:21 GMT (#18)
    (Utilizador Info)
    Nao me digas que nao proteges a chave de 1024 bits com password ? :)

    Em relacao à tua pergunta, a resposta é: apanhas a chave privada mike ! :)

    Re:TImeline (Pontos:2)
    por [Cliff] em 01-02-05 10:44 GMT (#20)
    (Utilizador Info) http://www.yimports.com/~cpinto
    ok, só para confirmar que só apanhando a chave privada :) thanks

    ---
    Este espaço pode ser seu...
    Re:TImeline (Pontos:1)
    por tonicensurado em 02-02-05 10:17 GMT (#21)
    (Utilizador Info)
    Well MITM tb pode resolver o problema =)
    Re:TImeline (Pontos:2)
    por fhc em 31-01-05 19:18 GMT (#17)
    (Utilizador Info)

    Contextualiza-te. Falávamos do MySQL. Queres fazer uma corrida? Tens um Winblows. Tenho um Linux. Qual cai primeiro?

    Pena é que, Toni, dada a minha vida recente, não tenha mais tempo para estes desafios.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:TImeline (Pontos:1)
    por tonicensurado em 01-02-05 10:21 GMT (#19)
    (Utilizador Info)
    O meu de certeza que não caí...

    Snif snif snif :( Eu que gostava tanto de ti !!! Come back pleaseeeeeeeeeeee

    Artigo Incompleto (Pontos:0, Redundante)
    por 4Gr em 30-01-05 20:38 GMT (#10)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    O artigo está deveras incompleto, esquecendo-se de referir algo fundamental: este worm apenas afecta máquinas Windows.

    Antes de mais, a sequência de exploit é aceder à base de dados por brute-force, tentando adivinhar a palavra passe. Ou seja, na verdade, o worm depende de palavras pass mal concebidas, um dado extremamente importante! Posteriormente, aproveita-se de uma falha do MySQL em Windows que consiste em não analisar correctamente as "user defined functions".

    Ah.. outra coisa fundamental: o número de vítimas deste worm não chegou sequer a um décimo do Slammer, que infectou o M$ SQL Server.

    Paradoxo do ano: Microsoft Works!
    Dominus vobiscum
    Re:Artigo Incompleto (Pontos:1)
    por tonicensurado em 31-01-05 10:35 GMT (#15)
    (Utilizador Info)
    Ah.. outra coisa fundamental: o número de vítimas deste worm não chegou sequer a um décimo do Slammer, que infectou o M$ SQL Server.
    Claro que nao... Uma era uma exploit no sentido de buffer overflows e amigas, outra é uma exploit de brute force. Sabes qual é a diferença de impacto entre as duas ? Geez.. dumb fuck...
    Re:Artigo Incompleto (Pontos:1)
    por thx1011 em 03-02-05 21:08 GMT (#22)
    (Utilizador Info)
    O que é tão porreiro em pessoas como tu, é o diametro do seu umbigo... 8-)

    É pena é o cotão...
    --------------------- Thx1011

    99% dos ratos de laboratório morrem de causas não naturais.

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]