anonymous@RULINUX.NET~# | Last login: 2024-12-23 23:49:48 |
Регистрация Вход | Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск |
Форум - Talks | [RSS] |
http://www.opennet.ru/opennews/art.shtml?num=31862
Спустя полгода с момента прошлого взлома сайта MySQL.com, история повторилась и сайт вновь был скомпрометирован. В результате атаки на страницах MySQL.com удалось разместить вредоносный JavaScript-код, поражающий известные уязвимости в Windows-сборках web-браузеров, а также плагинов Adobe Flash, Adobe Reader и Java. В настоящее время работа сайта восстановлена. Тем не менее, в понедельник вредоносный код присутствовал на сайте как минимум в течение 6 часов, с 16 до 22 часов по московскому времени.
Для поражения машин клиентов был задействован стандартный набор Windows-эксплоитов Black Hole, включающий в себя 9 разных эксплоитов, 4 из которых направленны на поражение Java-плагина. В случае наличия у посетителя необновленной версии одного из эксплуатируемых компонентов, на машину скрыто устанавливалось троянское ПО MW:JS:159, занимающиеся перехватом FTP-паролей из профиля FTP-клиента с последующим инфицированием связанных с этими паролями аккаунтов на хостинге (поражаются PHP, HTML и JavaScript файлы на удаленном сервере). Для активации вредоносного ПО не требуется выполнение каких-либо действий, достаточно было просто открыть в браузере страницу. В настоящее время распространяемое через MySQL.com вредоносное ПО выявляют только 4 антивирусных продукта (ClamAV, Rising, TrendMicro и TrendMicro-HouseCall) из 44, зарегистрированных в базе VirusTotal.
Детали, описывающие использованный метод проникновения на сайт MySQL.com, не сообщаются - компания Oracle отказалась прокомментировать ситуацию, пояснив, что расследование инцидента ещё не завершено. Судя по характеру вредоносного ПО, можно допустить, что вероятно взлом MySQL.com мог быть вызван не целенаправленной атакой, а является следствием утечки пароля у одного из администраторов web-сайта, рабочая машина которого была заражена троянским ПО.
С другой стороны, по данным представителей компании Trend Micro, за неделю до взлома неизвестный пытался на одном из форумов в сети продать за 3000 долларов пароль с root-доступом для трех серверов MySQL.com, в качестве доказательства работоспособности которого приводился ничего не значащий скриншот с типовым выводом "uname -a" в Fedora Linux 11. Кроме того, в результате мартовской атаки, по заявлению атакующих, был похищен список пользователей и администраторов СУБД с хэшами их паролей. Возможно, какой-то из паролей не был заменен и был использован для совершения повторной атаки.
Bod(*) (2011-09-27 14:00:00)
Mozilla/5.0 (X11; Linux i686; rv:6.0.2) Gecko/20100101 Firefox/6.0.2 Iceweasel/6.0.2
|
|
|
Скрыть
Re: На сайте MySQL.com обнаружен вредоносный JavaScript-код, распространяющий троянское ПОВ линупсе хреновый, дырявый shell. |
Скрыть
Re: На сайте MySQL.com обнаружен вредоносный JavaScript-код, распространяющий троянское ПО>А когда kernel.org раскомпроментируют?
|
|
|
|
Этот тред читают 1 пользователь: |
Анонимных: 1 Зарегистрированных: 0 |
Re: На сайте MySQL.com обнаружен вредоносный JavaScript-код, распространяющий троянское ПО
А когда kernel.org раскомпроментируют?