Новый червь распостраняется по Internet через MySQL

надо было бы уточнить, что _только_ через mysql под win32..

а какой смысл выставлять mysql во внешний мир?

Смешно :)) во всем виноват опенсоурс... одно непонятно зачем они MySQL -ом в тырнет отсвечивают...

Без этого червь распространяться не будет, потому и выставляют.

что то я не врубился, машины с Линухом тоже могут заболеть заразой?

Я может чего и не понимаю, но там же английским языком написано: "It infects machines by exploiting loosely secured MySQL installations running on Windows machines connected to the Internet."
Насколько я понял - заражаются только windows-машины с установленым MySQL-сервером.
Поправте если я не прав

> машины с Линухом тоже могут заболеть заразой

судя по новости - нет

вообще те, кто делают инет-сервера под win - сами себе буратино

а вообще странно, разработчики MySQL обычно хорошо вылизывают код и я думаю, что червь попадает на машину через какую-нибудь очередную дыру незакрытой win, а уже для распространения использует mysql

и у меня есть подозрение, что эта новость наподобе той, где писали о громадной ошибке безопасности в версиях 4.1 и 5, хотя обе на тот момент были в статусе alpha

> а вообще странно, разработчики MySQL обычно хорошо вылизывают код и я думаю, что червь попадает на машину через какую-нибудь очередную дыру незакрытой win, а уже для распространения использует mysql

> и у меня есть подозрение, что эта новость наподобе той, где писали о громадной ошибке безопасности в версиях 4.1 и 5, хотя обе на тот момент были в статусе alpha

Да, наверное, админ оставляет дистрибутивный my.cnf, да ещё пароль какой-нибудь myadmin:mypassword, вот и заражается.

Гы, ну точно:

> To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

Короче, машина должна торчать в интернет mysql-ем, и рутовый пароль должен быть один из утверждённого Forbot списка :) Это пять!

Охренительный эксплойт - только рутовый пароль надо знать.

В общем, FUD типовой, стандартного образца. "Если червь узнает пароль к вашему mysql, то он его сломает, поэтому MS SQL server лучше".

Значит червь распространяется таким образом: ищет машины с открытым портом 3306, пытается залогонится root с дефолтным паролем. Если ему это удается, то червь делает INSERT в таблицу своего образа, потом делает SELECT bin INTO OUTFILE 'ttt.dll'; Ну а потом задействуется этот dll для дальнейшего распространения.

>Тисячи машин с Microsoft Windows [...]

"Тисячи" машин говорите?! ;-)))

> а вообще странно, разработчики MySQL обычно хорошо вылизывают код

Нет, они его плохо вылизывают.

>To be infected, MySQL has to be configured to allow the root account to log in remotely to the system. By default, the root account is only allowed to log on at the machine running MySQL, rather than remotely. The root account also has to use a password that is on Forbot's list of passwords, Ullrich said.

"Чтобы быть зараженным, MySQL должен быть настроен так чтобы пользователь root мог логиниться с удаленной машины. По умолчанию пользователю root разрешено логинться только с локальной машины. Также пользователь root должен иметь пароль указаный в списке Forbot." - сказал Ульрих.

При этих условиях Ssh - еще более злостный рассадник заразы. Да и апач, к примеру, недалеко ушел.

Вспоминатеся: "НТП в сфере ИТ - это соервнование между программистами, пишущими софт, который мог бы использовтаь любой идиот, и природой, которая плодит все более тупых идиотов и неизменно лидирует".

>Нет, они его плохо вылизывают.

А причем здесь код mysql? Приведеннвм выше примером про dll можно завалить что угодно. И не только через mysql. Надо только чтоб админ настроил права доступа для процесса соответсвующим образом. А червяк сей - полезная штука, своеобразный тест на профессиональную пригодность администратора.

> The worm gets initial access to a database machine by guessing the password of the system administrator, using common passwords

LOL!

>> Нет, они его плохо вылизывают.

> А причем здесь код mysql?

При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

> При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

Гы. Не, я уже привык, что посетители ЛОР не читают исходный текст новости. Но, как оказалось, обсуждение тоже не читают %))) "Чукча писатель", да?

Тут же (на форуме) уже перевели - это НЕ уязвимость MySQL! "Разруха ... в головах!" (с) Преображенский. Если идиот-админ установил рут-пароль на сервак из серии "root:God", при этом выставив этот SQL вовне, то кто ему доктор? Oracle тоже будет сплошной дыркой в таком случае. И MS SQL.

Хм.. как я понимаю, должна быть ещё открыта привелегия "FILE" для админа.. Возможно mySQL должен искулючить эту привелегию из default конфигурации ..

Ьорльше никакой вины mySQL я не вижу..

2PAL: А где я утверждал, что обсуждаемый червь ходит через _уязвимость_ mysql?

> В общем, FUD типовой, стандартного образца. "Если червь узнает пароль к вашему mysql, то он его сломает, поэтому MS SQL server лучше".

Не надо с больной головы на здоровую валить! Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под вынью?

>Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под

Доля Oracle в интернете исчезающе мала

не стоило бы MySQL вообще под винды порты делать... оно же для их репутации лучше было бы.. а то, пошли на поводу дешёвой популяризации, а теперь пожинают, так сказать, плоды.. на виндах, как всегда, если не система, то уж пользователь точно делов накуролесит, и если с первым хотя бы можно как-то бороться и справляться.. то со вторым... занятие безнадёжное..

> 2PAL: А где я утверждал, что обсуждаемый червь ходит через _уязвимость_ mysql?

Бр-р-р. А это тогда чего? 8-O

>=====

>При том, что если Вы согласны с утверждением о плохой вылизанности кода mysql, то вам не покажется "странным" сообщение об уязвимости в нём, как это показалось vadiml.

>=====

Слова " ...кода mysql .... сообщение об уязвимости в нем" как иначе понимать???

> Не надо с больной головы на здоровую валить! Припомни-как лучше, когда такая же хрень случалась, например с Ораклом под вынью?

IMO, чтобы нормально поднять Oracle, надо голову на плечах иметь %))) Те, кто запускает такие серваки, ляпов с паролями не допускают в силу своего профессионализма.

В общем, как всегда, почти весь тред состоит из реплик анонимусов, не умеющих читать. Умеющим читать советую посмотреть MySQL Security Alert 2005-01-27 ( http://lists.mysql.com/announce/256 ).

> IMO, чтобы нормально поднять Oracle, надо голову на плечах иметь %))) Те, кто запускает такие серваки, ляпов с паролями не допускают в силу своего профессионализма.

Фигня. Неоднократно видел в очень серьёзных местах ситуацию, когда пароль и SID совпадали. Правда, с файрволами там всё хорошо было.

Как я понял ломают тех кто не установил в mysql пароль root. По умолчанию пароля нет, предпологается что установив mysql server администратор позаботится о такой вещи как пароль администратора :) Дык просто админы дубы сами себе злобные буратины (этим кстати объясняется почему ломают именно в уиндовс :)))

>Если ему это удается, то червь делает INSERT в таблицу своего образа, >потом делает SELECT bin INTO OUTFILE 'ttt.dll';
insert/select понятно

>Ну а потом задействуется этот dll для дальнейшего распространения.
А это простите как ? Или он подменяет dll самого mysql или используемый масдаем ?

> Бр-р-р.

Еще более подробное разжевывание: vadiml, не зная, как расценивать данное сообщение, - как уязвимость mysql или что-то еще, - сразу отверг первый вариант в силу убежденности в качестве кода. Я всего лишь сказал, что нельзя недооценивать "мастерство" писателей mysql.

>http://lists.mysql.com/announce/256

"This worm does not exploit any bugs in MySQL."

Кстати когда же они сохраненные процедуры прикрутят ?

когда этот mysql нужен еще десятку машин, стоящих по-соседству. А вот только нафига разрешать удаленно коннектится руту, так это уже грустно конечно. Малого того, ведь есть GRANT ALL ON ... TO root@ip .... нахрена на весь инет то светится?

лично знаю троих разработчиков mysql и это далеко не дураки. можно узнать, что вы сами пишете?

воспрос к Sorcerer

> Кстати когда же они сохраненные процедуры прикрутят ?

Могу спросить - у меня знакомый там работает

>Могу спросить - у меня знакомый там работает
Было бы интересно.

> лично знаю троих разработчиков mysql и это далеко не дураки

Вполне верю. Если бы mysql делали одни дураки, ею было бы невозможно пользоваться. :)

> можно узнать, что вы сами пишете?

Нет.

надо думать (после этого "нет") что такое людям просто стыдно показывать... ))

>> лично знаю троих разработчиков mysql и это далеко не дураки

> Вполне верю. Если бы mysql делали одни дураки, ею было бы невозможно пользоваться. :)

>> можно узнать, что вы сами пишете?

> Нет.

Уважаемый Sorcerer, Вам непременно стоит посетить вот эту страничку... http://lleo.aha.ru/na/

Потом вернуться и прочесть: либо Вам стыдно за тот софт, который вы разрабатываете, либо вы ничего не разрабатываете, но имеете наглость хаять незнакомых Вам людей, делающих то, что Вы неспособны сделать сами.

p.s. Готов взять свои слова назад и извиниться, если вы покажете свой код, БД или хотя бы пару багрепортов, отосланных Вами MySQL Team - как подтеверждение того, что они плохо пишут код.

Что верно, то верно. :)

Кстати, кто-нибудь знает, как mysql будет хранить записи в таблице типа heap с двумя полями - строками максимальной длиной 300 символов каждая, - как записи фиксированной длины ~600 символов или длина будет динамической и зависеть от длин хранящихся строк?

>Тисячи машин с Microsoft Windows на которых запущена MySQL уже заражены, по сообщениям экспертов безопастности.

Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

Ведь там отлично работает Microsoft SQL Server.

> Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

> Ведь там отлично работает Microsoft SQL Server.

Те, кому по задаче не нужны триггера, хранимки и прочие вкусности T-SQL, при этом неохота платить за доп. лицензии.

The new version of Forbot infects machines by taking advantage of <i>administrator accounts with weak or nonexistent passwords</i>. The worm cracks the accounts by trying values from a predefined list of around 1,000 possible passwords, Ullrich said.

А если пароля не окажится в этой 1000, то червь обломится, я правильно понял? Если так, то это не серьезно.

> Кстати, кто-нибудь знает, как mysql будет хранить записи в таблице типа heap с двумя полями - строками

Если тип символьный - то фиксированный Если мемо - то динамически, и прийдется переодически говорить optimize "штоп не пух".

> нахрена на весь инет то светится?

А в мануале по Ф1 не сказано - "не светиться".

Forbot - это мобильный backdoor, а не червь...

> Интересно, а кто эти "тисячи идиотов" которые ставят мускул на винду?

Элементарно Ватсон, это веб-девелоперы.

а правда, много дураков его открытым держат? бд это ж потенциально дырявый продукт, на безопасность никогда времени не хватает, буть он фришный или платный.

> Если идиот-админ установил рут-пароль на сервак из серии "root:God"

Вот я, например, не мог и подумать до просмотра кино "Хэкеры", что пароль "GOD" вообще можно догадаться поставить, а уж тем более на рут.

По сабжу, уже всё сказали - мускл здесь ни при чём.. Хотя сама идея выполнения бинарного файла при помощи селекта кажется, мягко говоря, дикой

Уже можно ставить PostgreSQL