Снощи (26.1.2005) взе че се пръкна едно вирусче в моя компютър. По интернет нищо не намерих за него. Файла се казва
spoolcll.exe намира се в %windows%/system32

Днес вече има малко информация по въпроса от google

Съдържаниет е скрито
Влезте за да го видите

Това е нещо ново и дори на форума където го обсъждат не са наясно за какво става въпрос.

Много те моля кажи при теб кой и с какви права може да се закача към MySQL-а ти?

Имаш ли анонимен потребител без парола примерно, но пък с FILE_Priv

В такъв случай може да се окаже атака през:
SELECT ... INTO OUTFILE ..;

Съдържаниет е скрито
Влезте за да го видите

Мдааааа обичаен подход, само че автоматизиран ;-)

root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy

Като взех да гледам в база данни mysql и що да видя. Там се мъдри една таблица func със следните полета и един запис.

name ret dl type
app_result 2 mysql\app_result.dll function

А също така и един dll. app_result.dll

търкай таблицата
търкай файла
спри си mysql-a да не излиза навън

и следващия път не си слагай DICTIONARY парола на рута

root@ro6avia#echo rm -rf * > /bin/seek_and_destroy
root@ro6avia#/bin/seek_and_destroy

Сега като погледнах в таблица user се оказа че при мен mysql е разграден двор

Та има един запис

Host: %
user: root
password: <празно>

и нататък всички възможни права.

P.S. Не се смейте много щото това съм го слагал 2001 година и кой зане по какви причини съм пуснал всички да идват на моето mysql

Аз още като дойде вируса го спрях да не излиза навън та сега няма проблем вече.

Все пак мерси за съвета.

Това преди време някой го беше описал на теория как може да стане а а ето, че някой се постарал да го реализира.

Накратко въпросното животно търси MySQL който позволява на root потребител да се връзва отдалечено и прилага типичния ГСН метод да се пробва с десетки често срещани пароли. (ГСН = Груба Сила и Неграмотност)

Когато успее да се закачи като потребител с достатъчно права качва въпросния DLL със SELECT ... INTO OUTFILE
След това дефинира UDF функция която сочи към въпросния DLL и така получава възможност да стартира въпросния DLL

Ако някой се интересува от теоретичната разработка ето малко повече информация:

Съдържаниет е скрито
Влезте за да го видите

Съдържаниет е скрито
Влезте за да го видите

Днес вече AVG 7.0 Free Edition го хваща това като вирус. Trojan hourse BackDoor WootBot.4.S

Проблемът се дължи на не особено добра администрация, но все пак доколкото MySQL AB разработва, разпространява и поддържа MySQL не можем да си позволим да подминем проблема мълчаливо.

Благодарение на твоя постинг успяхме да реагираме своевременно.

Съдържаниет е скрито
Влезте за да го видите