[SECURITY-L] CAIS-Alerta: MySQL Bot
CSIRT - UNICAMP
security em unicamp.br
Sex Jan 28 10:29:52 -02 2005
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: MySQL Bot
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 27 Jan 2005 18:41:04 -0200 (BRDT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' acompanhando desde 26/01/05 a atividade do MySQL bot relatada
pelo SANS ISC, que explora o banco de dados MySQL instalado sob a
plataforma Windows. O CAIS ja' detectou a atividade deste bot no backbone
da RNP atraves de seus sensores.
Como todo bot tipico, ele ira' tentar se conectar a servidores IRC
utilizando, entretanto, as portas 5002 ou 5003, assim que um novo sistema
for infectado. A lista de servidores IRC aos quais esse bot se conecta e'
a seguinte:
Hostname IP
- -------- --
dummylandingzone.dyndns.org host nao encontrado
landingzone.dynamic-ip.us 212.105.105.214 (nem sempre encontrado)
dummylandingzone.dns2go.com 63.64.164.91 e 63.149.6.91
dummylandingzone.hn.org 212.105.105.214
dummylandingzone.dynu.com 212.105.105.214
zmoker.dns2go.com 63.64.164.91
landingzone.dynu.com 212.105.105.214 (desabilitado)
landingzone.ath.cx 212.105.105.214
dummylandingzone.ipupdater.com 212.105.105.214
Os servidores IRC, por sua vez, instruem os bots a varrer redes 0.0.0.0/8
em busca de servidores MySQL rodando na porta 3306/TCP. Uma vez
encontrado, o servidor MySQL sofre um ataque de forca bruta iniciado pelo
bot, que utiliza senhas incluidas em seu proprio codigo para conseguir
autenticacao como usuario 'root' ao banco de dados. Em seguida, o bot
utiliza o exploit "MySQL UDF Dynamic Library" para executar e instalar
codigo malicioso, completando assim a infeccao do sistema.
Ate' o momento, o bot foi identificado como uma versao do bot 'Wootbot'.
Alem das caracteristicas usuais (mecanismo de DDoS e execucao de comandos
para coletar informacoes sobre o sistema), este bot possui um servidor FTP
e um backdoor que escuta nas portas 2301/TCP e 2304/TCP.
Sistemas afetados:
. MySQL instalado na plataforma Windows e com o usuario 'root' do banco
de dados possuindo senha fraca.
Correcoes disponiveis:
Nao foram divulgadas correcoes ate' o momento.
No entanto, existem algumas medidas paliativas:
. utilizar senha forte para o usuario root
. restringir o acesso do usuario 'root' a determinados hosts,
preferencialmente localhost (127.0.0.1)
. bloquear o acesso 'a porta 3306/TCP no firewall
Mais informacoes:
. SANS ISC Handler's Diary January 26th 2005 - Possible MySQL Bot
http://isc.sans.org/diary.php?date=2005-01-26
. SANS ISC Handler's Diary January 27th 2005 - MySQL Bot
http://isc.sans.org/diary.php?date=2005-01-27
. SecuriTeam.com - MySQL UDF Dynamic Library Exploit
http://www.securiteam.com/exploits/6G00P1PC0U.html
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes e correcoes
oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQflR5+kli63F4U8VAQHyMgQApbfR6VKQB2kK8NonfKMvUopQ7tW+fQgN
g/MklhVXZoUKMmqaWQQDk3G5XEzMwC6aSOTOtgvBPCPxUVcA4x74r28iCyYUVI31
m1YwYAoVUIllXSiDokDmLs0DIIm6HBGuTYqgDlHLYjS5coCrZ0WZzRzRq17HKveT
kGpmtgyM8Jw=
=dPzj
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L