[Взлом MySQL] К чему приводит банальная халатность

Установка и настройка официальных серверов Steam без поддержки NoSteam клиентов
Правила форума
В разделе запрещяется создавать посты которые явно не относятся к тематике раздела. Модераторы вправе удалять такие топики без разъяснения причин.
Ответить
Аватара пользователя
*** ROOT ***
Администратор
Администратор
Сообщения: 96
Зарегистрирован: 02 дек 2014, 12:38
Откуда: Шелехов
Возраст: 29
Контактная информация:
Статус: Не в сети

[Взлом MySQL] К чему приводит банальная халатность

Сообщение *** ROOT *** » 06 июл 2017, 21:12

Предписание: ничего жесткого в этом нет. Хотя на будущее конечно будет хорошим уроком. Так как расслабятся не стоит. Хацкер не дремлет. На смену одному всегда приходит кто то другой.

Допустим есть база! После установки, по умолчанию, она с пустым паролем у корневого пользователя. Это сделано для того что бы админ мог сразу же залогинится и поменять его. Ну и к тому же bind-address стоит 127.0.0.1 что не дает зацепить базу на внешний интерфейс. Но кому нужна такая база, к которой нельзя подконектиться по удалёнке? Правильно никому.. по этому большинство открывает для базы доступ в сеть. И там со временем уже начинается...

1. Скан ботами выделеного пула, проверка портов, попытка зацепится к базе.
2. Если алгоритм проверки определяет что нашел MySQL - бот пытается залезть сначала на профиль корневого юзверя, в надежде что там до сих пор еще не впечатали пароль. Если же админ поменял пароль, значит молодец. Но не на 100% так как правило в IPTABLES он не добавил, чем дал повод скомпрометировать порт.
3. Бот естественно начинает отрабатывать дальше по алгоритму и начинает ломится методом брута.

И тут у меня стрельнула та самая палка, именно в тот же самый год.. Это пословица есть такая.. В общем ботишка угадал пароль. Видимо есть где взять ;) Или может подсказал какой нехороший дядя или тетя.

4. После того как бот карабкается под корневым пользователем, управление передается хакеру, а там уже через базу пошли вполне законные запросы дампа бинарного кода, в виде шестнадцатеричного числа. Естественно дамп делается в исполняемый файл. Который потом же выполнится хацкером через этот же MySQL сервер, если там стоит соответствующий плагин. Если нет, конечно уже ничего не получится.

И тут блz ворос к девам из oracle? Вы чё тупые?! Как можно дампить в .exe?! Ёпта.. внатуре, вроде серьезная организация, пишет стандарт Java, и тут лажанула с такой хiрней.. тупость? Не думаю. Видимо они просто не ищут лишнего повода подосрать своим конкурентам из dot.Net и делают всё сразу, на месте ;() Ладно у меня пароль был шестизначный.. но он по крайней мере продержался 3 года.

5. В MySQL, вот не поверите! Есть вполне себе команды, да еще какие, ого-го. Такие, что способны с помощью запросов MySQL преспокойно себе запускать файлы, и к тому же, получать при этом ответ калбеком.

Знай я это, такого бы конечно не случилось. Но оно случилось как раз по тому что плагины мускула которые за это отвечают мне по сути не нужны, по этому я их не рассматривал. И еще я как ленивый админ - ограничиваюсь познанием простых запросов.. отсюда последствия взлома. Банальная лень сменить пароль, залочить фаерволом, да даже хотя бы порт сменить - хотя это не решение, но всё таки..

Т.е. MySQL вполне себе позволяет выполнять такие операции, и самое главное!! антивирусному ПО то фиолетово, он же доверяет базе, а если вы еще и явно внесли её в список исключений? То и подавно, антивир даже не пикнет. И получается что залив экзешник, который по сути даже трояном может и не быть, но с помощью него можно доливать на ПК жертвы чего угодно: типа скриптов powershall, библиотек расширения .dll и бог его знает что еще..

Цель всего этого взлома - подготовить вашу машину к вступлению в ряды великого и ужасного «Dart Wader». Да да да, того самого ярого поклонника DNS Amplification... Т.е. по сути сделать из вас «Zombie»

Tom Liston
Consultant - Cyber Network Defense
DarkMatter, LLC



Ответить