Servere EDU compromise implicate în atacuri de tip DoS

Articol postat de:

images_1321083490

Atacurile informatice sunt la ordinea zilei si de aceea au incetat sa mai constitue subiecte de stire. Cu toate acestea, din cand in cand, anumite astfel de incidente reusesc sa atraga atentia. Un astfel de caz este atacul involuntar lansat de mit.edu, infrastructura web a uneia dintre cele mai prestigioase universitati din lume.

Saptamani intregi s-au purtat discutii pe forumurile tehnice pe marginea atacurilor ce vizeaza tehnologiile PHP si SQL si siteuri vulnerabile utilizate ca unelte pentru raspandirea de malware sau in atacuri de tip “brute-force”. Se estimeaza ca astfel de atacuri au compromis peste 100,000 de site-uri din intreaga lume.

Aceasta campanie a vizat si unul din serverele MIT (CSH-2.MIT.EDU), care, in urma compromiterii, gazduieste un script malitios folosit de cyber-infractori pentru a gasi alte siteuri vulnerabile de pe web. Nu se stie cum a ajuns respectivul script de crawling pe serverul MIT, dar este clar ca acesta urmareste detectarea de websiteuri cu vulnerabilitati in PHPMyAdmin, cea mai populara interfata de administrare a serverelor MySQL.

PHPMyAdmin este utilizat de dezvoltatorii si administratorii de site pentru a se conecta si a efectua operatiuni specifice SQL, cum ar fi crearea, citirea, actualizarea si stergera informatiilor din baza de date. Informatiile noastre arata ca vulnerabilitatea vizeaza versiunile de PHPMyAdmin cuprinse intre 2.5.6 si 2.8.2.

Cand crawlerul localizat in infrastructura MIT gaseste o versiune vulnerabila de PHPMyAdmin, incearca sa obtina privilegii administrative si sa injecteze o comanda SQL in baza de date. Daca website-ul a fost compromis cu success, crawlerul lasa in urma un director numit “muieblackcat” – un mutex ce serveste atat ca marker de infectie, cat si ca instrument der propagare, dat fiind faptul ca in interiorul acestuia se copiaza cunoscutul pachet de exploituri BlackHole. Acesta insa nu este singurul prejudiciu adus serverului atacat. In functie de cat de solid este serverul, multitudinea de cereri GET pe secunda ar putea sa-l scoata din functiune temporar, intr-o maniera similara cu atacurile de tip DoS.

Numele de domeniu .edu este privilegiat prin natura sa si este utilizat nu numai de institutii de invatamant din toata lumea, dar si de universitati prestigioase cu infrastructuri informatice extrem de puternice. Un trackback de la un astfel de domeniu este privit ca un vot de incredere pentru un articol, un blog, un site intreg, sau chiar pentru o institutie. Astfel, o infrastructura de marimea MIT.edu nu este doar garantata sa aiba latimi de banda suficiente pentru a duce la sfarsit un atac masiv in timp extrem de scurt, dar de asemenea este si o cale sigura de a trece de firewalluri care de obicei accepta traficul dinspre MIT.edu ca fiind legitim.

Acest lucru explica si interesul infractorilor pentru infrastructurile EDU sau altele de acest gen (de exemplu GOV sau MIL), pentru a le folosi in scopuri ilicite, cum ar fi promovarea unor marfuri ilegale sau a unui continut dubios.

Sursa: Bitdefender



Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>