Convierten servidores MySQL en bots DDoS

Servidores MySQL han sido comprometidos en todo el mundo y son utilizados para lanzar ataques DDoS. La víctima más reciente de este ataque es un proveedor estadounidense de alojamiento y hosting además de una dirección IP china.

La mayoría de los servidores afectados en esta campaña se encuentran en la India, China, Brasil y los Países Bajos, pero se pueden encontrar otros en todo el mundo.

“Creemos que los atacantes comprometen servidores MySQL para aprovechar su gran ancho de banda. Con estos recursos, los atacantes podrían lanzar grandes campañas DDoS comparadas con el uso de equipos de usuarios tradicionales,” explicaron los investigadores de Symantec. “MySQL es también el segundo sistema manejador de base de datos más popular del mundo, dando a los atacantes una amplia gama de objetivos potenciales.”

Los investigadores no dicen cómo fueron comprometidos muchos servidores, pero se dice que utilizaron una variante del troyano Chickdos para hacer a los servidores escuchar sus órdenes. La variante es muy similar a los troyanos Chickdos iniciales, descubiertos por primeta vez en diciembre de 2013.

Los atacantes realizan un ataque de inyección SQL con el fin de instalar una función maliciosa definida por el usuario (user-defined function) en el servidor de destino, que se carga luego en MySQL y es ejecutada.

La UDF actúa como un downloader, pero también modifica las entradas del registro para habilitar TerminalServices, de esta forma los atacantes pueden controlar el servidor comprometido desde una ubicación remota; algunas veces se añade un nuevo usuario al sistema. Finalmente descarga dos variantes del troyano Chikdos de dos sitios web comprometidos.

“En la última campaña Chikdos que observamos, los atacantes probablemente usaron un escáner automatizado o, posiblemente, un gusano para comprometer los servidores MySQL e instalar la UDF. Sin embargo, el vector de infección no ha sido identificado”, anotaron los investigadores.

Los investigadores han proporcionado los hashes tanto del programa de descargacomo del troyano de DoS, así los administradores pueden comprobar sus sistemas en busca de señales de compromiso.

Los investigadores aconsejan a los administradores nunca ejecutar servidores SQL con privilegios de administrador (si es posible) y actualizar regularmente las aplicaciones que los utilizan.

 

Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2593

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies