Преступники превращают MySQL-серверы в DDoS-боты

Discussion in 'Мировые новости. Обсуждения.' started by seostock, 2 Nov 2015.

  1. seostock

    seostock Elder - Старейшина

    Joined:
    2 Jul 2010
    Messages:
    2,626
    Likes Received:
    6,490
    Reputations:
    51
    С помощью масштабного ботнета можно предпринимать атаки на более высокопрофильные цели.

    Неизвестные злоумышленники взломали ряд MySQL-серверов по всему миру, объединили их в ботнет и используют для осуществления DDoS-атак, сообщают исследователи ИБ-компании Symantec. На данный момент самым крупным атакам подверглись хостинг-провайдер в США и IP-адрес, зарегистрированный в Китае. Имена жертв не разглашаются.

    По данным экспертов, инфицированные серверы расположены в 10 странах мира, но большая их часть приходится на Индию, Китай, Бразилию и Нидерланды. Количество зараженных серверов не уточняется.

    «Мы полагаем, что злоумышленники скомпрометировали MySQL-серверы из-за их более высокой пропускной способности. С помощью такого масштабного ботнета можно предпринимать атаки на более высокопрофильные цели», - отметил аналитик Symantec Гэвин Горман (Gavin O. Gorman).

    В ходе атак злоумышленники используют вариант трояна Chickdos, обнаруженного в декабре 2013 года. После инфицирования преступники внедряют SQL-код, который, в свою очередь, устанавливает вредоносную UDF-функцию на целевом сервере. После загрузки в MySQL она исполняется. В данном случае UDF используется в качестве загрузчика, а также для модификации строк регистра с целью активации терминальных сервисов (TerminalServices). Таким образом хакеры получают возможность удаленно контролировать скомпрометированный сервер и создавать новые учетные записи.

    После этого с двух вредоносных web-сайтов загружаются две разновидности Chickdos. Если два года назад в ходе подобной кампании злоумышленники использовали автоматизированные инструменты или червя для компрометации MySQL-сервера и установки UDF, то в этом случае экспертам не удалось идентифицировать вектор заражения.

    Для того чтобы обезопасить себя от атак подобного рода, специалисты Symantec рекомендуют не злоупотреблять правами администратора, регулярно обновлять приложения, для работы с которыми нужны права администратора, а также проверять конфигурацию сервисов, требующих удаленного доступа к серверу.

    30/10/15 http://www.securitylab.ru/news/476382.php
     
    #1 seostock, 2 Nov 2015
    makag likes this.
  2. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Кто ж сервера бд в мир выпускает...
     
    #2 ZodiaX, 2 Nov 2015
    smack and makag like this.
(You must log in or sign up to post here.)