Новый червь распостраняется по Internet через MySQL

Re: Новый червь распостраняется по Internet через MySQL

надо было бы уточнить, что _только_ через mysql под win32..

kjkj (28.01.2005 8:42:41)

Re: Новый червь распостраняется по Internet через MySQL

а какой смысл выставлять mysql во внешний мир?

kes (28.01.2005 8:57:17)

Re: Новый червь распостраняется по Internet через MySQL

Смешно :)) во всем виноват опенсоурс... одно непонятно зачем они MySQL -ом в тырнет отсвечивают...

angel_il (28.01.2005 9:06:50)

Re: Новый червь распостраняется по Internet через MySQL

Без этого червь распространяться не будет, потому и выставляют.

Lumi (28.01.2005 9:09:15)

Re: Новый червь распостраняется по Internet через MySQL

что то я не врубился, машины с Линухом тоже могут заболеть заразой?

dip (28.01.2005 9:09:39)

Re: Новый червь распостраняется по Internet через MySQL

Я может чего и не понимаю, но там же английским языком написано: "It infects machines by exploiting loosely secured MySQL installations running on Windows machines connected to the Internet."
Насколько я понял - заражаются только windows-машины с установленым MySQL-сервером.
Поправте если я не прав

daemon73 (28.01.2005 9:26:06)

Re: Новый червь распостраняется по Internet через MySQL

> машины с Линухом тоже могут заболеть заразой

судя по новости - нет

вообще те, кто делают инет-сервера под win - сами себе буратино

а вообще странно, разработчики MySQL обычно хорошо вылизывают код и я думаю, что червь попадает на машину через какую-нибудь очередную дыру незакрытой win, а уже для распространения использует mysql

и у меня есть подозрение, что эта новость наподобе той, где писали о громадной ошибке безопасности в версиях 4.1 и 5, хотя обе на тот момент были в статусе alpha

vadiml (28.01.2005 9:29:51)

Re: Новый червь распостраняется по Internet через MySQL

> а вообще странно, разработчики MySQL обычно хорошо вылизывают код и я думаю, что червь попадает на машину через какую-нибудь очередную дыру незакрытой win, а уже для распространения использует mysql

> и у меня есть подозрение, что эта новость наподобе той, где писали о громадной ошибке безопасности в версиях 4.1 и 5, хотя обе на тот момент были в статусе alpha

Да, наверное, админ оставляет дистрибутивный my.cnf, да ещё пароль какой-нибудь myadmin:mypassword, вот и заражается.

Re: Новый червь распостраняется по Internet через MySQL

Гы, ну точно:

> To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

Короче, машина должна торчать в интернет mysql-ем, и рутовый пароль должен быть один из утверждённого Forbot списка :) Это пять!

Охренительный эксплойт - только рутовый пароль надо знать.

Re: Новый червь распостраняется по Internet через MySQL

В общем, FUD типовой, стандартного образца. "Если червь узнает пароль к вашему mysql, то он его сломает, поэтому MS SQL server лучше".

Re: Новый червь распостраняется по Internet через MySQL

Значит червь распространяется таким образом: ищет машины с открытым портом 3306, пытается залогонится root с дефолтным паролем. Если ему это удается, то червь делает INSERT в таблицу своего образа, потом делает SELECT bin INTO OUTFILE 'ttt.dll'; Ну а потом задействуется этот dll для дальнейшего распространения.

bizon (28.01.2005 9:46:09)

Re: Новый червь распостраняется по Internet через MySQL

>Тисячи машин с Microsoft Windows [...]

"Тисячи" машин говорите?! ;-)))

php-coder (28.01.2005 9:48:21)

Re: Новый червь распостраняется по Internet через MySQL

> а вообще странно, разработчики MySQL обычно хорошо вылизывают код

Нет, они его плохо вылизывают.

Sorcerer (28.01.2005 9:48:41)

Re: Новый червь распостраняется по Internet через MySQL

>To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

"Чтобы быть зараженным, MySQL должен быть настроен так чтобы пользователь root мог логиниться с удаленной машины. По умолчанию пользователю root разрешено логинться только с локальной машины. Также пользователь root должен иметь пароль указаный в списке Forbot." - сказал Ульрих.

При этих условиях Ssh - еще более злостный рассадник заразы. Да и апач, к примеру, недалеко ушел.

Вспоминатеся: "НТП в сфере ИТ - это соервнование между программистами, пишущими софт, который мог бы использовтаь любой идиот, и природой, которая плодит все более тупых идиотов и неизменно лидирует".

Re: Новый червь распостраняется по Internet через MySQL

>Нет, они его плохо вылизывают.

А причем здесь код mysql? Приведеннвм выше примером про dll можно завалить что угодно. И не только через mysql. Надо только чтоб админ настроил права доступа для процесса соответсвующим образом. А червяк сей - полезная штука, своеобразный тест на профессиональную пригодность администратора.

Re: Новый червь распостраняется по Internet через MySQL

> The worm gets initial access to a database machine by guessing the password of the system administrator, using common passwords

LOL!

Re: Новый червь распостраняется по Internet через MySQL

>> Нет, они его плохо вылизывают.

> А причем здесь код mysql?

При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

Sorcerer (28.01.2005 10:42:30)

Re: Новый червь распостраняется по Internet через MySQL

> При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

Гы. Не, я уже привык, что посетители ЛОР не читают исходный текст новости. Но, как оказалось, обсуждение тоже не читают %))) "Чукча писатель", да?

Тут же (на форуме) уже перевели - это НЕ уязвимость MySQL! "Разруха ... в головах!" (с) Преображенский. Если идиот-админ установил рут-пароль на сервак из серии "root:God", при этом выставив этот SQL вовне, то кто ему доктор? Oracle тоже будет сплошной дыркой в таком случае. И MS SQL.

PAL (28.01.2005 10:52:08)

Re: Новый червь распостраняется по Internet через MySQL

Хм.. как я понимаю, должна быть ещё открыта привелегия "FILE" для админа.. Возможно mySQL должен искулючить эту привелегию из default конфигурации ..

Ьорльше никакой вины mySQL я не вижу..

Re: Новый червь распостраняется по Internet через MySQL

2PAL: А где я утверждал, что обсуждаемый червь ходит через _уязвимость_ mysql?

Sorcerer (28.01.2005 10:56:11)

Re: Новый червь распостраняется по Internet через MySQL

> В общем, FUD типовой, стандартного образца. "Если червь узнает пароль к вашему mysql, то он его сломает, поэтому MS SQL server лучше".

Не надо с больной головы на здоровую валить! Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под вынью?

Re: Новый червь распостраняется по Internet через MySQL

>Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под

Доля Oracle в интернете исчезающе мала

Re: Новый червь распостраняется по Internet через MySQL

не стоило бы MySQL вообще под винды порты делать... оно же для их репутации лучше было бы.. а то, пошли на поводу дешёвой популяризации, а теперь пожинают, так сказать, плоды.. на виндах, как всегда, если не система, то уж пользователь точно делов накуролесит, и если с первым хотя бы можно как-то бороться и справляться.. то со вторым... занятие безнадёжное..

MiracleMan (28.01.2005 11:21:10)

Re: Новый червь распостраняется по Internet через MySQL

> 2PAL: А где я утверждал, что обсуждаемый червь ходит через _уязвимость_ mysql?

Бр-р-р. А это тогда чего? 8-O

>=====

>При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

>=====

Слова " ...кода mysql .... сообщение об уязвимости в нем" как иначе понимать???

PAL (28.01.2005 11:29:42)

Re: Новый червь распостраняется по Internet через MySQL

> Не надо с больной головы на здоровую валить! Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под вынью?

IMO, чтобы нормально поднять Oracle, надо голову на плечах иметь %))) Те, кто запускает такие серваки, ляпов с паролями не допускают в силу своего профессионализма.

PAL (28.01.2005 11:32:18)

Re: Новый червь распостраняется по Internet через MySQL

В общем, как всегда, почти весь тред состоит из реплик анонимусов, не умеющих читать. Умеющим читать советую посмотреть MySQL Security Alert 2005-01-27 ( http://lists.mysql.com/announce/256 ).

Re: Новый червь распостраняется по Internet через MySQL

> IMO, чтобы нормально поднять Oracle, надо голову на плечах иметь %))) Те, кто запускает такие серваки, ляпов с паролями не допускают в силу своего профессионализма.

Фигня. Неоднократно видел в очень серьёзных местах ситуацию, когда пароль и SID совпадали. Правда, с файрволами там всё хорошо было.

Re: Новый червь распостраняется по Internet через MySQL

Как я понял ломают тех кто не установил в mysql пароль root. По умолчанию пароля нет, предпологается что установив mysql server администратор позаботится о такой вещи как пароль администратора :) Дык просто админы дубы сами себе злобные буратины (этим кстати объясняется почему ломают именно в уиндовс :)))

cpu (28.01.2005 11:39:33)

Re: Новый червь распостраняется по Internet через MySQL

>Если ему это удается, то червь делает INSERT в таблицу своего образа, >потом делает SELECT bin INTO OUTFILE 'ttt.dll';
insert/select понятно

>Ну а потом задействуется этот dll для дальнейшего распространения.
А это простите как ? Или он подменяет dll самого mysql или используемый масдаем ?

cpu (28.01.2005 11:46:53)

Re: Новый червь распостраняется по Internet через MySQL

> Бр-р-р.

Еще более подробное разжевывание: vadiml, не зная, как расценивать данное сообщение, - как уязвимость mysql или что-то еще, - сразу отверг первый вариант в силу убежденности в качестве кода. Я всего лишь сказал, что нельзя недооценивать "мастерство" писателей mysql.

Sorcerer (28.01.2005 11:53:31)

Re: Новый червь распостраняется по Internet через MySQL

>http://lists.mysql.com/announce/256

"This worm does not exploit any bugs in MySQL."

Кстати когда же они сохраненные процедуры прикрутят ?

cpu (28.01.2005 11:59:21)

Re: Новый червь распостраняется по Internet через MySQL

когда этот mysql нужен еще десятку машин, стоящих по-соседству. А вот только нафига разрешать удаленно коннектится руту, так это уже грустно конечно. Малого того, ведь есть GRANT ALL ON ... TO root@ip .... нахрена на весь инет то светится?

mrdeath (28.01.2005 12:04:55)

Re: Новый червь распостраняется по Internet через MySQL

лично знаю троих разработчиков mysql и это далеко не дураки. можно узнать, что вы сами пишете?

Re: Новый червь распостраняется по Internet через MySQL

воспрос к Sorcerer

Re: Новый червь распостраняется по Internet через MySQL

> Кстати когда же они сохраненные процедуры прикрутят ?

Могу спросить - у меня знакомый там работает

Re: Новый червь распостраняется по Internet через MySQL

>Могу спросить - у меня знакомый там работает
Было бы интересно.

cpu (28.01.2005 12:20:01)

Re: Новый червь распостраняется по Internet через MySQL

> лично знаю троих разработчиков mysql и это далеко не дураки

Вполне верю. Если бы mysql делали одни дураки, ею было бы невозможно пользоваться. :)

> можно узнать, что вы сами пишете?

Нет.

Sorcerer (28.01.2005 12:20:50)

Re: Новый червь распостраняется по Internet через MySQL

надо думать (после этого "нет") что такое людям просто стыдно показывать... ))

HellAngel (28.01.2005 12:40:06)

Re: Новый червь распостраняется по Internet через MySQL

>> лично знаю троих разработчиков mysql и это далеко не дураки

> Вполне верю. Если бы mysql делали одни дураки, ею было бы невозможно пользоваться. :)

>> можно узнать, что вы сами пишете?

> Нет.

Уважаемый Sorcerer, Вам непременно стоит посетить вот эту страничку... http://lleo.aha.ru/na/

Потом вернуться и прочесть: либо Вам стыдно за тот софт, который вы разрабатываете, либо вы ничего не разрабатываете, но имеете наглость хаять незнакомых Вам людей, делающих то, что Вы неспособны сделать сами.

p.s. Готов взять свои слова назад и извиниться, если вы покажете свой код, БД или хотя бы пару багрепортов, отосланных Вами MySQL Team - как подтеверждение того, что они плохо пишут код.

Re: Новый червь распостраняется по Internet через MySQL

Что верно, то верно. :)

Кстати, кто-нибудь знает, как mysql будет хранить записи в таблице типа heap с двумя полями - строками максимальной длиной 300 символов каждая, - как записи фиксированной длины ~600 символов или длина будет динамической и зависеть от длин хранящихся строк?

Sorcerer (28.01.2005 13:14:33)

Re: Новый червь распостраняется по Internet через MySQL

>Тисячи машин с Microsoft Windows на которых запущена MySQL уже заражены, по сообщениям экспертов безопастности.

Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

Ведь там отлично работает Microsoft SQL Server.

Sun-ch (28.01.2005 13:29:40)

Re: Новый червь распостраняется по Internet через MySQL

> Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

> Ведь там отлично работает Microsoft SQL Server.

Те, кому по задаче не нужны триггера, хранимки и прочие вкусности T-SQL, при этом неохота платить за доп. лицензии.

Re: Новый червь распостраняется по Internet через MySQL

The new version of Forbot infects machines by taking advantage of <i>administrator accounts with weak or nonexistent passwords</i>. The worm cracks the accounts by trying values from a predefined list of around 1,000 possible passwords, Ullrich said.

А если пароля не окажится в этой 1000, то червь обломится, я правильно понял? Если так, то это не серьезно.

Re: Новый червь распостраняется по Internet через MySQL

> Кстати, кто-нибудь знает, как mysql будет хранить записи в таблице типа heap с двумя полями - строками

Если тип символьный - то фиксированный Если мемо - то динамически, и прийдется переодически говорить optimize "штоп не пух".

Re: Новый червь распостраняется по Internet через MySQL

> нахрена на весь инет то светится?

А в мануале по Ф1 не сказано - "не светиться".

Re: Новый червь распостраняется по Internet через MySQL

Forbot - это мобильный backdoor, а не червь...

hinote (28.01.2005 16:36:37)

Re: Новый червь распостраняется по Internet через MySQL

> Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

Элементарно Ватсон, это веб-девелоперы.

Re: Новый червь распостраняется по Internet через MySQL

а правда, много дураков его открытым держат? бд это ж потенциально дырявый продукт, на безопасность никогда времени не хватает, буть он фришный или платный.

Re: Новый червь распостраняется по Internet через MySQL

> Если идиот-админ установил рут-пароль на сервак из серии "root:God"

Вот я, например, не мог и подумать до просмотра кино "Хэкеры", что пароль "GOD" вообще можно догадаться поставить, а уж тем более на рут.

По сабжу, уже всё сказали - мускл здесь ни при чём.. Хотя сама идея выполнения бинарного файла при помощи селекта кажется, мягко говоря, дикой

Re: Новый червь распостраняется по Internet через MySQL

Уже можно ставить PostgreSQL