+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    590
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 590
    Points : 12 205
    Points
    12 205

    Par défaut Symantec détecte une campagne d’attaques ciblant les serveurs MySQL

    Symantec détecte une campagne d’attaques ciblant les serveurs MySQL
    afin de les utiliser pour mener des attaques DDoS sur le Web

    Il y a quelques jours, Symantec a découvert une campagne d’attaques ciblant les serveurs MySQL. La particularité de ces attaques est que celles-ci utilisent les serveurs MySQL pour relayer des attaques de déni de service distribué (DDoS) vers des sites web.

    Nous rappelons que les attaques DoS Distribuées sont des attaques de déni de service qui s’appuient sur d’autres ressources pour multiplier leurs puissances afin de rendre un réseau inaccessible.

    Pour que ces attaques DDoS découvertes par Symantec puissent s’opérer, les auteurs injectent dans les serveurs MySQL une fonction définie par l’utilisateur (UDF) malicieuse. Cette fonction se nomme Downloader.Chikdos et demeure sur le système de fichiers du serveur. C’est cette dernière qui va télécharger la charge utile qui n’est autre que le malware Chikdos.

    Lorsque Downloader.Chikdos est exécuté, elle modifie les entrées du registre comme suit afin d’avoir accès au composant Terminal Services du système.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache\“Enabled” = “0”
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\“EnableAdminTSRemote” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD\“Start” = “2”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\“Start” = “2”
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“TSEnabled” = “1”
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\“fDenyTSConnections” = “0”
    Une fois que l’attaquant a accès au composant Terminal Services, elle télécharge des variantes du malware Chikdos sur le système qui l’abrite.

    Chikdos a été recensé pour la première fois en 2013 par CERT. À cette époque, la variante connue était celle du cheval de Troie que des tiers malveillants utilisaient pour lancer des attaques de déni de service distribué (DDoS).

    « Dans la dernière campagne Chikdos que nous avons observée, les assaillants ont vraisemblablement utilisé un scanner automatisé ou peut-être un ver pour compromettre les serveurs MySQL et installer la fonction définie par l’utilisateur (UDF). Toutefois, le vecteur d’infection exact n’a pas été identifié. Une fois que les serveurs ont été infectés, l’UDF télécharge un outil DDoS, qui est une variante de Trojan.Chikdos.A », rapporte Symantec.

    Selon l’entreprise de sécurité, MySQL a été ciblé afin de disposer d’un nombre important de ressources et par-delà lancer une plus vaste attaque DDoS dans la mesure où MySQL est désigné comme le second gestionnaire de bases de données le plus populaire au monde.

    En parcourant ces outils de télémétrie, Symantec a pu détecter que la plus grande partie de ces attaques ont été menées sur des serveurs MySQL en Inde (25 %) suivie de la Chine (15 %), le Brésil (9 %), la Chine (9 %), les États-Unis (8 %), la Corée du Sud (6 %), le Mexique (5 %), le Canada (4 %), l’Italie (4 %), la Malaisie (2 %), le Nigeria (1 %), la Turquie (1 %) et les autres (11 %).

    Pour s’en prémunir, Symantec souligne que « les serveurs SQL ne devraient pas être exécutés avec des privilèges administrateur dans la mesure du possible. Les applications qui utilisent le serveur SQL doivent être corrigées régulièrement et suivre de bonnes pratiques de programmation pour atténuer les vulnérabilités d’injection SQL ». Enfin, l’entreprise conseille de « vérifier la présence de nouveaux comptes utilisateurs et de veiller à ce que les services d’accès à distance soient configurés en toute sécurité ».

    Source : Blog Symantec

    Et vous ?

    Que pensez-vous de ces attaques ?

    Voir aussi

    Forum Sécurité

  2. #2
    Membre averti Avatar de a028762
    Homme Profil pro
    Retraité
    Inscrit en
    décembre 2003
    Messages
    381
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : décembre 2003
    Messages : 381
    Points : 403
    Points
    403

    Par défaut

    Ok, précisez quand même que c'est sur une machine Windows ...
    Ceci ne signifie pas que Linux est sans danger...
    Mais c'est mieux de le préciser
    Ol

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    32
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 32
    Points : 16
    Points
    16

    Par défaut

    Oui tout à fait d'accord.
    En lisant le titre, je me suis mis à penser que mon serveur Debian relayait des attaques Ddos.
    Mais quand j'ai vu l'infame registre windows, je me suis senti soulagé

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 304
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 304
    Points : 4 303
    Points
    4 303
    Billets dans le blog
    6

    Par défaut

    La précision dans le titre serait bien utile
    mais il est pas très recommandable d'avoir un serveur Mysql sous Windows de toute façon

  5. #5
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    24 886
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 24 886
    Points : 47 591
    Points
    47 591

    Par défaut

    En production peut être pas une bonne idée. Mais de nombreux dev et étudiants utilisent wamp avec des mots de passe par défaut puisque ce n'est qu'une base de dev sans infos critiques...
    David Delbecq Java Software engineer chez Trimble. TRANSPORT & LOGISTICS.     LinkedIn | Google+

  6. #6
    Membre éprouvé Avatar de ddoumeche
    Homme Profil pro
    Développeur J2EE
    Inscrit en
    octobre 2007
    Messages
    434
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Développeur J2EE

    Informations forums :
    Inscription : octobre 2007
    Messages : 434
    Points : 963
    Points
    963

    Par défaut

    Rappelons donc les précautions d'usage et notament :
    pas d'accès direct depuis internet
    filtrage ip
    machine rebonds, ssl, etc

Discussions similaires

  1. Réponses: 6
    Dernier message: 31/07/2015, 10h57
  2. Réponses: 8
    Dernier message: 22/09/2014, 16h05
  3. une commande inconnue dans les logs du serveur
    Par hectorlegrec dans le forum Administration
    Réponses: 4
    Dernier message: 26/08/2007, 00h34
  4. les serveurs MySQL?
    Par wrida dans le forum Administration
    Réponses: 2
    Dernier message: 17/10/2006, 11h04
  5. Réponses: 5
    Dernier message: 23/09/2006, 14h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo