Servidores MySQL Sofrem Comprometimento para Execução de Ataques DDoS

Devido a atividades cybercriminosas, servidores MySQL em todo o mundo foram comprometidos e assim, estão sendo usados para desencadear ataques DDoS. Os últimos alvos destes ataques são um provedor de hospedagem não identificado, localizado nos Estados Unidos e um endereço de IP chinês. A maioria dos servidores afetados nesta campanha está localizado na Índia, China, Brasil e Holanda, mas outros podem ser encontrados em outras partes do mundo. De acordo com as investigações, tudo indica que os atacantes comprometeram servidores MySQL para tirar proveito de sua grande largura de banda. Com esses recursos, os atacantes poderiam muito bem lançar maiores campanhas envolvendo ataques DDoS do que se usassem alvos tradicionais. Além do mais, o MySQL também é o segundo sistema de gerenciamento de banco de dados mais popular do mundo, dando aos crackers uma ampla gama de alvos potenciais.


Os pesquisadores não disseram quantos servidores, no total, foram comprometidos. Além disso, os criminosos usaram também uma variante do Trojan "Chickdos" com a intenção de tornar os servidores capazes de dar um "listen" em seus comandos. A variante é muito semelhante trojan "Chickdos" em sua fase inicial, que foi primeiramente descoberto pelos pesquisadores cibernéticos em dezembro de 2013. Também é importante enfatizar que os atacantes podem executar um ataque de injeção SQL, a fim de instalar uma função definida pelo usuário mal-intencionado (UDF) no servidor de destino, que é então carregado no MySQL e posteriormente executado. Este UDF funciona como um downloader, mas também modifica entradas de registro para habilitar TerminalServices para que os atacantes possam controlar o servidor comprometido a partir de um local remoto, além de algumas vezes adicionar um novo usuário ao sistema.


Saiba Mais:

[1] Symantec http://www.symantec.com/connect/fr/b...m-ddos-attacks