9:49
28/9/2011

Firma Amorize zauważyła, że strona internetowa MySQL została zmodyfikowana — dodano skrypt instalujący złośliwe oprogramwanie na komputerach internautów.

MySQL.com infekuje złośliwym oprogramowaniem

Atakujący umieślili na mysql.com tzw. exploitpacka, który składał się z JavaScriptu wykrywającego wersje przeglądarki i jej pluginów, a następnie serwującego odpowiednie exploity. Niczego nieświadome ofiary, które odwiedziły stronę MySQL.com przy pomocy niezaktualizowanej przeglądarki, były infekowane złośliwym oprogramowaniem (klasyczny przykład ataku drive-by download):

Skrypt usunięto dopiero po ok. 7 godzinach. Według VirusTotal, infekcję były w stanie wykryć tylko 4 antywirusy (na 44 testowanych):

MySQL hacked - malware

MySQL hacked - infekuje malwarem (fot. Armorize)

Sprawa jest o tyle interesująca, że okazało się iż Brian Krebs już tydzień temu widział na pewnym rosyjskim forum, że ktoś oferował dostęp na prawach roota do serwerów MySQL za minimum 3 000 dolarów.

Nie wiadomo dlaczego bloger, który od dawna zajmuje się opisywaniem rynku bezpieczeństwa nie poinformował o znalezisku administratorów MySQL, narażąjąc na infekcję ok. 120 000 internautów (tyle miało odwiedzić zaatakowane mysql.com w ciągu 7 godzin). Cóż, wygląda na to, że będziecie mogli go sami o to zapytać na konferencji Secure 2011, której to będzie gościem.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Jak już wspomniałeś o niezaktualizowanych przeglądarkach… ciekawi mnie, jak statystycznie wygląda sprawa aktualizacji różnych przeglądarek. Tzn ilu użytkowników danej przeglądarki wykonuje regularne aktualizacje.

    W Chrome sprawa jest prosta – aktualizacje lecą z automatu, więc nie da się mieć aktualnej przeglądarki. W Operze z aktualizowaniem też chyba nie ma większych problemów.

    Schody zaczynają się w przypadku Firefoxa, w którym po updacie z 3.0.1.5 na 3.0.1.6 wywala się większość rozszerzeń ;) Pewnie jeszcze zabawniej to będzie wyglądało, jak Mozilla wcieli w życie plan jeszcze częstszych aktualizacji ;)

    I na podium pewnie IE, który nawet mimo aktualizacji często dziedziczy masę niezałatanych dziur po starszych wersjach (przynajmniej kiedyś tak było – teraz się prawdę mówiąc nie orientuję, na ile bezpieczne są najnowsze IE).

    • Aj – bały błąd. W przypadku Chromie nie da się oczywiście mieć NIEAKTUALNEJ przeglądarki :)

    • O ile wiem Firefox ma już wersję 6.0.2 :]
      I raczej większość (używanych przeze mnie) dodatków przeszło bez szwanku z wersji 3.0.x.

    • Mam Firefox 7.0 Sam się zaktualizował z wersji 6.0.X bodajże wczoraj.
      Rozszerzenia po update się “nie wywalają”, a mam ich sporo.
      Fanboizm przeglądarkowy…? *cough*, *cough* Tego jeszcze nie było.

    • Joe Doe: Ta… “fanboj”… zdecydowanie zbyt często używane ostatnio słowo. Aż strach cokolwiek powiedzieć, bo zaraz człowiek od fanbojów zwyzywają ;)

      Za czasów, jak używałem Fx takie cyrki były, i nikt temu nie zaprzeczy. Żaden z moich znajomych nie aktualizował Fx zaraz po wypuszczeniu aktualizacji, bo zawsze kończyło się to tak samo. Ci bardziej uparci przed aktualizowaniem przeglądarki ręcznie edytowali wszystkie zainstalowane rozszerzenia i poprawiali im “datę przydatności do spożycia” (tzn maksymalną zgodną wersję przeglądarki).

      To, że używam Chrome, nie czyni ze mnie fanboja. Szanuję każdą nowoczesną przeglądarkę, która nie utrudnia pracy web-developera.

    • Wydaje mi się, że od kiedy Firefox zaczął się tak aktualizować i gonić Operę z numerkami wersji to twórcy pluginów sami zaczęli nie co oszukiwać co do zgodności do numeru wersji.

    • a czy wiesz takze ze Chrome nigdy nie bylo finalna wersja ? kazda kolejna to Beta
      czyzby Google balo sie swojego wlasnego produktu i odpowiedzialnosci za niego ?
      wyrwales sie troche jak filip z konopi z tymi przegladarkami, poszukaj troche, poszperaj,dowiedz sie a potem pisz komentarze – w 75-90% przypadkow winne nie sa przegladarki a “dodatki” do nich, wiec prosze troche uzupelnic wiedze zanim sie wypowiesz znowu

  2. Czy wiadomo jakieś szczegóły odnośnie czasu, w którym stona miała zapodany ten skrypt? Jestem bardzo ciekaw, bo kilka dni temu pobierałem Workbencha…

  3. Whitelista javascriptu FTW.

  4. @Piotr Konieczny
    Czy ten BlackHole ExploitKit, którego użyli atakujący robi też jakieś kuku systemom GNU/Linux? Gdzie mogę znaleźć jakieś wersje przeglądarek/pluginów, które są temu podatne? Niestety tak się składa, że wczoraj odwiedziłem tę witrynę.

  5. Może nie poinformował bo nie lubi oracle ? ;>

  6. a jaki link do tego forum?

  7. mozna prosic redakcje niebezpiecznika do bezposredniego linku jakie programy konkretnie wykrywają ?

  8. @Janusz słusznie pyta. Wypadałoby podać dokładnie datę jeśli mowa o tak małym oknie. Na screenie z VirusTotal widnieje data 26.09, więc zgaduję że to wtedy strona była zainfekowana.

    • Data nie jest dokładnie znana. Wiadomo, że 26.09 o 17:00 naszego czasu Armorize wyłapało zagrożenie i napisało posta.
      Podejrzewa się, że istniało ono od już ok. 7h. Po publikacji posta, Oracle usunęło złośliwy skrypt. Mówimy więc tu o czasie 26.09 10:00 + ~7h

    • 26.09 w nocy, do 15 czasu uniwersalnego [ GTC ] zostalo usuniete, nie pamietam gdzie to wyczytalem, jakis servis newsowy ze stanow, w kazdym badz razie w niedziele wieczorem [ 25.09 ] mysql bylo w zwiechu bo probowalem pobrac nowa baze, w poniedzialek wieczorem dzialalo

  9. Dlatego wlasnie trzeba korzystac z noscript do FF przydaje sie rowniez Addon Update Checker ktory bardzo ladnie informuje o nowych aktualizacjach dodatkow :)

  10. Ciekawe, że darmowy i opensourcowy clamav wykrył to czego płatne i zamknięte nie wykryły.

  11. Tak na prawdę to wykrył tylko jeden antywirus… Rising (ze statusem “suspicious”), reszcie nie podobało się, że plik jest skompresowany (modyfikowany ASPack w tym wypadku), także trudno tu mówić o jakiejkolwiek detekcji. Dla mnie byłby to zwykły fałszywy alarm, jeden z wielu, jeśli ktoś ma często do czynienia z podejrzanymi plikami…

  12. Rok 2011 jest rokiem niebezpieczeństwa. Padło już na MySQL, PHP, kernel.org i strony Linux Foundation… tylko jakoś nikt się nie uczy na błędach. I dlaczego na światło dzienne nigdy nie wypływają informacje, jaki zdalny exploit został użyty, albo gdzie leżał problem w konfiguracji?
    Ja na wszelki wypadek zrezygnowałem z Apache HTTPD, gdyby miało się okazać, że to w nim są dziury. Chociaż kernel.org stoi na nginx… Za to php.net jest na “Apache/1.3.41”. Nie polecam.

  13. Większość exploitpacków posiada, większość :] exploitów na systemy Windows ale powolutku się to zmienia (w stronę Apple i Linuksa).

    Warto zwrócić uwagę, że większość exploitkitów wykorzystuje błędy w rozszerzeniach przeglądarek i poza sytuacją gdzie przeglądarka pilnuje dostępu do pluginów – niezależnie od aktualnej wersji przeglądarki, będziemy podatni – jeśli nie dokonujemy aktualizacji np. Javy albo Flasha.

    Średnio statystyki exploitpacków, które widziałem dawały skuteczność na poziomie 10-20% odwiedzających np.:

    http://bothunters.pl/2010/11/23/15-procent-skutecznosci-w-podatnosci-systemow-uzytkownikow/

    A jak zerkniecie, że 80% userów ma jakiś niezaktualizowany plugin to wychodzi, że jest jeszcze gorzej:

    http://bothunters.pl/2011/02/18/80-przegladarek-www-wymaga-aktualizacji/

Odpowiadasz na komentarz Jarosław

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: