» »

Napad na MySQL.com obiskovalcem stregel zlobno kodo

Napad na MySQL.com obiskovalcem stregel zlobno kodo

ComputerWorld - Spletna stran MySQL.com, ki jo vzdržuje Oracle, je bila že drugič v manj kot letu dni napadena. Marca so hekerji z vrivanjem SQL pridobili uporabniška imena in zgoščene vrednosti (hash) gesel, včeraj pa je stran nekaj ur servirala zlobno kodo vsem obiskovalcem.

Da je stran kompromitirana, so odkrili včeraj okrog poldne po slovenskem času, čez približno šest ur pa je bila stran že očiščena. V vmesnem je stran, ki je bila očitno napadena prek orodja Black Hole, ogrožala obiskovalce, ki niso imeli najnovejših in zakrpanih verzij brskalnikov, Adobe Acrobata in Readerja oziroma Jave, saj je izkoriščala znane in že odpravljene ranljivosti, da je na njihove računalnike nameščala zlobno kodo.

Spomnimo, da je v zadnjem času priljubljeno vdiranje na velike in popularne strani. Kernel.org ni imel posledic za končne uporabnike, vdor v Linux.com pa je povzročil le krajšo nedostopnost in nekaj nevšečnosti. Ranljivost strani MySQL.com pa naj bi bila v podzemnih krogih že dlje časa poznana, na ruski črni borzi pa se je prodajala za tri tisoč dolarjev. Ni sicer še potrjeno, ali gre za isto ranljivost, ki je bila izkoriščena včeraj. Oracle uradnega komentarja o vdoru še ni dal, saj ga še preiskujejo.

41 komentarjev

Tilen ::

Posledic ni za tiste, kateri si zatiskajo oči.
413120536c6f76656e696a612c20642e642e

Ginginova ::

Bo treba zmigrirat websajt na non-opensource Oracle zadeve. >:D
(\__/) This is Bunny. Copy and paste bunny
(='.'=) into your signature to help him gain
(")_(") world domination.

Tilen ::

Se mi pa zdi to, kar se zadnje čase dogaja, precej dober stress test za Linux community. Tako malce z glavo ob tla, za občutek realnosti.

Linux.com se še do danes očitno ni pobral :

This site is down for maintenance. We will be restoring service shortly. Thank you for your patience.


The Linux Foundation

Kernel.org

Maintenance
Down for maintenance

Linux.org :

Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
Apache mod_fcgid/2.3.6 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at linux.org Port 80





Šalabajzerji. Uradno slepijo uporabnike, da posledic ni, na glavnih straneh pa imajo vsak tretji dan maintenance, ker po mesecu dni še vedno niso 100% prepričani, da je vse ok. Ni dvakrat za reči, da jim isti nepovabljeni obiskovalci strežnikov delajo štalo znova in znova in da problema enostavno ne znajo rešiti.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

AndrejS ::

Nekdo je pingvine postavil na realna tla

techfreak :) ::

Ker varnost Linuxa in ostalega FOSSa je odvisna od programerjev spletnih strani?

WamPIRe- ::

Ne. Zagotovo pa to ne meče dobre luči na celotno organizacijo.
Msi Z77 | Intel i7-3770K | Kingston HyperX DDR3 16GB
CM Silent Pro Gold 700W | Asus RTX 2080 | Samsung 850 EVO 250GB
Samsung 850 EVO 500GB | 2x Asus ROG PG279Q

Blisk ::

AndrejS je izjavil:

Nekdo je pingvine postavil na realna tla


Pa v bistvu ne na realna tla, se pač tudi v linuxu dogaja, kar je v windowsih stalnica in se dogaja vsak dan.

techfreak :) ::

@Blisk: Slabo napisana aplikacija je enako ranljiva tako na Linuxu kot na Windowsu.

smash ::

zgleda da letos potem ne bo leto linuxa

technolog ::

Kaj ima mysql z linuxom?

Manu ::

Upam, da se bodo policisti spravili nad te kriminalce tako zavzeto, kot so se nad Anonimne in ostale politično motivirane.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

techfreak :) ::

technolog je izjavil:

Kaj ima mysql z linuxom?

Spletno stran MySQL verjetno poganja Linux.

MySQL je tako bad iz stališča FOSS privržencev zaradi Oracla. Drizzle in MariaDB bi naj bili odprti alternativi.

zeleni ::

Vsekakor je linux prav tako ranljiv kot katerikoli drugi OS. Problem ni samo v ranljivosti sistema (razen, ce si avtorji zatiskajo oci pred problemom in pravijo, da tega pa pri njih ni).
Problem je v napadalcih, ki jih ne kaznujejo dovolj. V vecini primerov/drzav jih verjetno niti ne iscejo prav resno.

Vse take stvari bi morale biti strogo kaznovane.

smash ::

zeleni je izjavil:

Vsekakor je linux prav tako ranljiv kot katerikoli drugi OS. Problem ni samo v ranljivosti sistema (razen, ce si avtorji zatiskajo oci pred problemom in pravijo, da tega pa pri njih ni).
Problem je v napadalcih, ki jih ne kaznujejo dovolj. V vecini primerov/drzav jih verjetno niti ne iscejo prav resno.

Vse take stvari bi morale biti strogo kaznovane.


se ne strinjam z strogimi kaznimi, naj raje popravijo oz dopolnijo svoje sisteme, da bodo varni...bo bolje za vse nas

napadalcem bi lahko bili samo hvaležni, seveda do mere, ko ni neke res velike škode

denial ::

Spletno stran MySQL verjetno poganja Linux.

Po fotki objavljeni na ruskem forumu v to sploh ni dvoma. Mogoče je tudi, da sta marčevski in zadnji napad povezana (somebody has not changed leaked password).

Je pa zanimivo kako Oracle nič ne črhne o dogodku. Very professional :)

Flashback
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

techfreak :) ::

Tale dokument govori o njihovi programski opremi, ne pa o njihovih spletnih straneh.

Za Oracle je MySQL nekaj kar so dobili, ne pa nekaj kar bi želeli.

driver_x ::

smash je izjavil:

se ne strinjam z strogimi kaznimi, naj raje popravijo oz dopolnijo svoje sisteme, da bodo varni...bo bolje za vse nas

napadalcem bi lahko bili samo hvaležni, seveda do mere, ko ni neke res velike škode


Saj smo tudi vlomilcem hvaležni, ker zaradi njih lahko kupujemo dobre ključavnice in alarmne naprave.

smash ::

driver_x je izjavil:

smash je izjavil:

se ne strinjam z strogimi kaznimi, naj raje popravijo oz dopolnijo svoje sisteme, da bodo varni...bo bolje za vse nas

napadalcem bi lahko bili samo hvaležni, seveda do mere, ko ni neke res velike škode


Saj smo tudi vlomilcem hvaležni, ker zaradi njih lahko kupujemo dobre ključavnice in alarmne naprave.


Saj tudi vlomilcem ne dajemo pretirano stroge kazni.

Markoff ::

AndrejS je izjavil:

Nekdo je pingvine postavil na realna tla

Talk about happy feet, huh? ;((
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

technolog ::

Kar bi jaz rad vedel, tudi v primeru spletnih strani kernel.xyz in linux.xyz je to, zaradi česa konkretno se je zgodil napad. Možnosti so naslednje (pa še kakšna):

1. Bug v Linux jedru
2. Bug v GNU utilityih
3. Bug v Apacheju (oz. drugem web servicu)
4. Nekakovostna koda spletne strani

Prej se težko pogovarjamo, kdo je tukaj kriv.

zeleni ::

@smash

So me ze drugi prehiteli s kljucavnicami in alarmnimi napravami.

Tudi njim ne dajemo visokih kazni to je res. Lahko bi bile visje. Ampak gre tudi za sorazmernost skode, ki jo naredi vlomilec. Pri vlomu v server je skoda navadno veliko visja.

Jaz se vsekakor ne cutim nic dolznega nobenemu vlomilcu in mu tudi nisem hvalezen za nic.

joebanana ::

technolog je izjavil:

Kar bi jaz rad vedel, tudi v primeru spletnih strani kernel.xyz in linux.xyz je to, zaradi česa konkretno se je zgodil napad. Možnosti so naslednje (pa še kakšna):

1. Bug v Linux jedru
2. Bug v GNU utilityih
3. Bug v Apacheju (oz. drugem web servicu)
4. Nekakovostna koda spletne strani

Prej se težko pogovarjamo, kdo je tukaj kriv.


4. marca SQL Injection drugo se ne ve. Osebno bi stavil na social engineering.

Nič od tega nima veze z linuxom. Sedaj se lahko pogovarjamo.

jype ::

WamPIRe-> na celotno organizacijo.

Kera organizacija pa je to?

technolog ::

Odlično, torej pustimo linux ob strani. SQL injection se lahko zgodi kjerkoli. Žal je ta napad še vedno zelo prevalenten, sploh ker se o njem resno in javno govori šele zadnjih pet let.

smash ::

zeleni je izjavil:

@smash

So me ze drugi prehiteli s kljucavnicami in alarmnimi napravami.

Tudi njim ne dajemo visokih kazni to je res. Lahko bi bile visje. Ampak gre tudi za sorazmernost skode, ki jo naredi vlomilec. Pri vlomu v server je skoda navadno veliko visja.

Jaz se vsekakor ne cutim nic dolznega nobenemu vlomilcu in mu tudi nisem hvalezen za nic.


ja če enačiš navaden vlom z softwarskim vlomom, potem imaš prav...samo jaz tega ne enačim

BigWhale ::

jype je izjavil:

WamPIRe-> na celotno organizacijo.

Kera organizacija pa je to?


Duh! CKZP, Centralni Komite Zveze Programerjev

AndrejS je izjavil:

Nekdo je pingvine postavil na realna tla


Kaksna pa so ta realna tla? Mislim kje? Ne razumem. Kaj imajo, nic hudega sluteci pingvini, z MySQL?

Zgodovina sprememb…

  • spremenil: BigWhale ()

zeleni ::

smash je izjavil:

ja če enačiš navaden vlom z softwarskim vlomom, potem imaš prav...samo jaz tega ne enačim


Ker je razlika, ce npr. nekdo ukrade stevilko kreditne kartice s serverja od tega, da ukrade kartico iz denarnice?
V bistvu 10.000 stevilk s serverja ali 3 kartice iz denarnic.

Ali je razlika, da clovek obstane pred zaprtim servisom, trgovino ker jo je nekdo namerno unicil ali pa pred prazno internetno stranjo, ki jo rabi, ker je nekdo iz objestnosti ali koristoljubja unicil web stran?

Ne samo da inacim. Softwerski bi moral biti navadno se huje kaznovan, ker povzroci vec skode.

technolog ::

Je, je razlika... Težje je izvesti napad na internetno trgovino, varovano z X € vložka kot pa navadno trgovino, prav tako varovano z X € vložka.

Pravzaprav se da spletno trgovino v teoriji perfektno zaščitit, da ji noben napad ne more do živega. Strošek je, vendar enkraten. Dokaži mi, da se to da tudi z navadno trgovino.

Na kratko: Za vlom v spletno trgovino je po moje odgovoren izdelovalec spletne trgovine, za vlom v navadno trgovino pa je odgovoren vlomilec. Bistvena razlika.

Zgodovina sprememb…

smash ::

zeleni je izjavil:

smash je izjavil:

ja če enačiš navaden vlom z softwarskim vlomom, potem imaš prav...samo jaz tega ne enačim


Ker je razlika, ce npr. nekdo ukrade stevilko kreditne kartice s serverja od tega, da ukrade kartico iz denarnice?
V bistvu 10.000 stevilk s serverja ali 3 kartice iz denarnic.

Ali je razlika, da clovek obstane pred zaprtim servisom, trgovino ker jo je nekdo namerno unicil ali pa pred prazno internetno stranjo, ki jo rabi, ker je nekdo iz objestnosti ali koristoljubja unicil web stran?

Ne samo da inacim. Softwerski bi moral biti navadno se huje kaznovan, ker povzroci vec skode.


saj to veš, da če pustiš na avtu čez noč vrata odprta oz. šipe, se ti lahko not vsedem in nisem prav nič kaznovan

zeleni ::

Kaznovan bos z moje strani. Verjemi, ker ne bom cakal na to, da sodisce spravi nadlegovanje, motenje posesti in podobno skozi.

V teoriji se da perfektno zascititi. Ampak vsako zascito se da zaobiti. To, da ji noben napad ne more do zivega: Izklopis jo z interneta, zapres server v sobo brez oken in vrat in podobno - strosek je res dokaj nizek, zascita precej visoka, uporabnost pa nicna.

smash ::

zeleni je izjavil:

Kaznovan bos z moje strani. Verjemi, ker ne bom cakal na to, da sodisce spravi nadlegovanje, motenje posesti in podobno skozi.

V teoriji se da perfektno zascititi. Ampak vsako zascito se da zaobiti. To, da ji noben napad ne more do zivega: Izklopis jo z interneta, zapres server v sobo brez oken in vrat in podobno - strosek je res dokaj nizek, zascita precej visoka, uporabnost pa nicna.


to že..samo na koncu bi ti kratko potegnu..in to samo zato, ker nisi prvotno poskrbel za varnost

BigWhale ::

To, da ne ves, da ima tvoj software neko pomankljivost je isto, kot da ne ves, da ima tvoja kljucavnica neko pomankljivost. Za oboje se lahko sicer pozanimas ampak nismo vsi strokovnjaki za racunalnisko varnost ali pa kljucavnicarji.

In neodpravljena pomankljivost ni enaka odprtim vratom/oknu.

Zgodovina sprememb…

  • spremenil: BigWhale ()

Looooooka ::

Leto I.Q-ja in sprave se bliza.Napredek je ociten.Linux userji so prisli visoko iz "seveda da so windowsi drek, ce ti pa ze vsak exe, ki ga navaden user uporablja usuje masino.Na linuxu mamo zato root posebi" na "ce mas zanic program to se ne pomeni da je jedro krivo...".
Se ene 5 let pa bomo mogoce videli kaksen Linux in Microsoft piknik.Upam da ga veteterjanci ne pokvarijo :D

jype ::

Looooooka> Se ene 5 let pa bomo mogoce videli kaksen Linux in Microsoft piknik.

Je že bil. Dokler ga ni bilo, ga ni bilo predvsem zaradi odnosa Microsofta do vsega, kar je smatral za konkurenco.

Blisk ::

techfreak :) je izjavil:

@Blisk: Slabo napisana aplikacija je enako ranljiva tako na Linuxu kot na Windowsu.

saj nikjer nisem trdil drugače.
Sploh pa aplikacije, ki imajo zadaj mysql ali sql bazo.

Underground pa se nekaj govori, da za tem stoji koorporacija, ki ji ni všeč, da ji linux jemlje pogačo denarja....

Zgodovina sprememb…

  • spremenil: Blisk ()

MrStein ::

technolog je izjavil:

Odlično, torej pustimo linux ob strani. SQL injection se lahko zgodi kjerkoli.

Nope. Samo tam, kjer je SQL.

BigWhale je izjavil:

AndrejS je izjavil:

Nekdo je pingvine postavil na realna tla


Kaksna pa so ta realna tla? Mislim kje? Ne razumem. Kaj imajo, nic hudega sluteci pingvini, z MySQL?

Filozofijo.

Z linux.com, linux.org, kernel.org pa še kaj več. (kak dolgo pa so že dol?)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Looooooka ::

jype je izjavil:

Looooooka> Se ene 5 let pa bomo mogoce videli kaksen Linux in Microsoft piknik.

Je že bil. Dokler ga ni bilo, ga ni bilo predvsem zaradi odnosa Microsofta do vsega, kar je smatral za konkurenco.

Damn damn damn.A so se zmenil, da bo redna zadeva in ce...kdaj priblizno? :)

jype ::

Looooooka> Damn damn damn.A so se zmenil, da bo redna zadeva in ce...kdaj priblizno? :)

Odkar je picnic firma, ne najdem več članka na to temo. Mislim, da je bilo nekje v Seattlu.

__Ž__ ::

Sem hodil na mysql.com s Firefox 3.6 ravno v času okužbe. Ali mogoče kdo ve, kako preverim, če se mi je mašina okužila?

MrStein ::

Tilen je izjavil:

Se mi pa zdi to, kar se zadnje čase dogaja, precej dober stress test za Linux community. Tako malce z glavo ob tla, za občutek realnosti.

Linux.com se še do danes očitno ni pobral :

This site is down for maintenance. We will be restoring service shortly. Thank you for your patience.


The Linux Foundation

Kernel.org

Maintenance
Down for maintenance

Linux.org :

Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
Apache mod_fcgid/2.3.6 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at linux.org Port 80





Šalabajzerji. Uradno slepijo uporabnike, da posledic ni, na glavnih straneh pa imajo vsak tretji dan maintenance, ker po mesecu dni še vedno niso 100% prepričani, da je vse ok. Ni dvakrat za reči, da jim isti nepovabljeni obiskovalci strežnikov delajo štalo znova in znova in da problema enostavno ne znajo rešiti.

Pa dobro, a ne morejo tačas DNS preusmeriti na neki začasni strežnik, z vsaj eno stranjo, kjer dajo vsaj neki press release?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Prva dva sta spet gor. Tretji pa še vedno ista napaka.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Napad na MySQL.com obiskovalcem stregel zlobno kodo

Oddelek: Novice / Varnost
4110216 (8053) MrStein
»

Najobsežnejši napad s SQL-vrivanjem v zgodovini

Oddelek: Novice / Varnost
229205 (7294) ABX
»

Vdor v MySQL.com z vrivanjem SQL

Oddelek: Novice / Varnost
158108 (5986) techfreak :)
»

Najbolj luknjičav Apple

Oddelek: Novice / Apple iPhone/iPad/iPod
3510555 (8269) MrStein
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204750 (4086) sverde21

Več podobnih tem