 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | MySQL BotAlerta do CAIS 27012005 [CAIS, 27.01.2005-18:41, revisão 01] O CAIS está acompanhando desde 26/01/05 a atividade do MySQL bot relatada pelo SANS ISC, que explora o banco de dados MySQL instalado sob a plataforma Windows. O CAIS já detectou a atividade deste bot no backbone da RNP através de seus sensores. Como todo bot típico, ele irá tentar se conectar a servidores IRC utilizando, entretanto, as portas 5002 ou 5003, assim que um novo sistema for infectado. A lista de servidores IRC aos quais esse bot se conecta é a seguinte:
Os servidores IRC, por sua vez, instruem os bots a varrer redes 0.0.0.0/8 em busca de servidores MySQL rodando na porta 3306/TCP. Uma vez encontrado, o servidor MySQL sofre um ataque de forca bruta iniciado pelo bot, que utiliza senhas incluidas em seu próprio código para conseguir autenticação como usuário 'root' ao banco de dados. Em seguida, o bot utiliza o exploit "MySQL UDF Dynamic Library" para executar e instalar código malicioso, completando assim a infecção do sistema. Até o momento, o bot foi identificado como uma versão do bot 'Wootbot'. Além das características usuais (mecanismo de DDoS e execução de comandos para coletar informações sobre o sistema), este bot possui um servidor FTP e um backdoor que escuta nas portas 2301/TCP e 2304/TCP. Sistemas afetados:
Correções disponíveis:
No entanto, existem algumas medidas paliativas:
Mais informações:
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF: |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
