مقابله با حملات کرم MySQL

28 ژانویه 2005 - 9 بهمن 1383

کرمی که با سوء‌استفاده از کلمات عبور ضعیف مدیران شبکه خود را گسترش می دهد، دیده شده است.

بنابر راهنمایی امنیتی منتشر شده از طرف ISC، این کرم که MySQL bot نام دارد و نام کد اجرایی آن SpoolCLL است، به کامپیوترهایی که سیستم عامل ویندوز و دیتابیس سورس آزادی مانند MySQL دارند، حمله می کند. اولین گزارشها در روز 27 ژانویه حاکی از آن بود که بیش از 8 هزار کامپیوتر تا آن زمان آلوده شده اند.

این کرم با استفاده از کلمات عبور معمول سعی می کند تا کلمه عبور مدیر سیستم را حدس بزند و از این طریق دسترسی اولیه ای به دیتابیس پیدا کند. پس از آن از مشکل امنیتی موجود در MySQL استفاده می کند تا یک روبات نرم افزاری یا bot را اجرا کند و کنترل سیستم را کاملا در اختیار بگیرد.

در راهنمایی امنیتی ISC آمده است:“ bot یک لیست طولانی از کلمات عبور با خود دارد و با استفاده از آن حمله brute-force انجام می دهد.“

سیستم آلوده سازی این کرم به کرم Slammer شباهت دارد اما درصورتی که کلمه عبور خوب و مناسبی انتخاب کرده باشید از خطر این کرم در امان خواهید بود. از طرف دیگر معمولا دیتابیس MySQL‌بر روی سیستم عاملهای سورس آزاد مانند لینوکس نصب می شود و لذا تعداد کامپیوترهایی که در معرض حمله توسط این کرم قرار دارند زیاد نیستند.

مشکل امنیتی مورد استفاده این کرم در اواسط سال 2004 کشف شد و کد نفوذ آن نیز در اواخر ماه دسامبر ارائه گردید. این مشکل که MySQL UDF Dynamic Libray نام دارد از آنجا به وجود می آید که نرم افزار دیتابیس کنترلهای امنیتی کافی را بر روی توابع تعریف شده توسط کاربر ( UFDs) اعمال نمی کند.

به گفته ISC کامپیوترهایی که در اختیار این کرم قرار می گیرند سعی می کنند تا با اتصال به یکی از سرورهای IRC، اهداف جدید خود را بیایند. بر همین اساس بود که امروز با از مدار خارج کردن سرورهای مزبور، گسترش MySQL متوقف شد.

شرکتی که MySQL را تولید می کند،‌طی یک راهنمایی امنیتی گام به گام به مدیران دیتابیس شیوه شناسایی آلودگی سیستم و رفع آن را آموزش داده است.