مقابله با حملات كرم MySQL

28 ژانويه 2005 - 9 بهمن 1383

كرمي كه با سوء‌استفاده از كلمات عبور ضعيف مديران شبكه خود را گسترش مي دهد، ديده شده است.

بنابر راهنمايي امنيتي منتشر شده از طرف ISC، اين كرم كه MySQL bot نام دارد و نام كد اجرايي آن SpoolCLL است، به كامپيوترهايي كه سيستم عامل ويندوز و ديتابيس سورس آزادي مانند MySQL دارند، حمله مي كند. اولين گزارشها در روز 27 ژانويه حاكي از آن بود كه بيش از 8 هزار كامپيوتر تا آن زمان آلوده شده اند.

اين كرم با استفاده از كلمات عبور معمول سعي مي كند تا كلمه عبور مدير سيستم را حدس بزند و از اين طريق دسترسي اوليه اي به ديتابيس پيدا كند. پس از آن از مشكل امنيتي موجود در MySQL استفاده مي كند تا يك روبات نرم افزاري يا bot را اجرا كند و كنترل سيستم را كاملا در اختيار بگيرد.

در راهنمايي امنيتي ISC آمده است:“ bot يك ليست طولاني از كلمات عبور با خود دارد و با استفاده از آن حمله brute-force انجام مي دهد.“

سيستم آلوده سازي اين كرم به كرم Slammer شباهت دارد اما درصورتي كه كلمه عبور خوب و مناسبي انتخاب كرده باشيد از خطر اين كرم در امان خواهيد بود. از طرف ديگر معمولا ديتابيس MySQL‌بر روي سيستم عاملهاي سورس آزاد مانند لينوكس نصب مي شود و لذا تعداد كامپيوترهايي كه در معرض حمله توسط اين كرم قرار دارند زياد نيستند.

مشكل امنيتي مورد استفاده اين كرم در اواسط سال 2004 كشف شد و كد نفوذ آن نيز در اواخر ماه دسامبر ارائه گرديد. اين مشكل كه MySQL UDF Dynamic Libray نام دارد از آنجا به وجود مي آيد كه نرم افزار ديتابيس كنترلهاي امنيتي كافي را بر روي توابع تعريف شده توسط كاربر ( UFDs) اعمال نمي كند.

به گفته ISC كامپيوترهايي كه در اختيار اين كرم قرار مي گيرند سعي مي كنند تا با اتصال به يكي از سرورهاي IRC، اهداف جديد خود را بيايند. بر همين اساس بود كه امروز با از مدار خارج كردن سرورهاي مزبور، گسترش MySQL متوقف شد.

شركتي كه MySQL را توليد مي كند،‌طي يك راهنمايي امنيتي گام به گام به مديران ديتابيس شيوه شناسايي آلودگي سيستم و رفع آن را آموزش داده است.