Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/09/2011
L'usuari root de MySQL.com, a la venda per 3.000 dòlars
El lloc oficial de MySQL ha estat compromés i ha servit malware durant un temps. A més, la contrasenya d'usuari root al servidor es ven per 3.000 dòlars en un fòrum.
El lloc MySQL.com, on s'allotja la popular base de dades, va ser compromés i modificat per tal d'intentar infectar, amb malware, els visitants. A través d'un iframe en la pàgina, es redirigia a una altra URL que acabava en un exploit pack anomenat BlackHole. Açò és un kit conegut que permet servir diferents exploits segons les característiques del visitant, per a poder aprofitar vulnerabilitats del seu navegador, Java o Flash.
El més curiós és que Brian Krebs va trobar el 21 de setembre, en un fòrum, un missatge d'un supòsit atacant rus que, a través de captures, mostrava haver tingut accés a MySQL.com i posseir contrasenya root. La venia per 3.000 dòlars. Actualment el fil del fòrum ha estat esborrat. L'atacant es podia contactar en l'adreça sourcec0de@neko.im.
El mateix venedor reconeixia que, amb 40.000 visites diàries, MySQL.com era un excel·lent punt on col·locar un exploit kit.
Armorize ha publicat un video en YouTube on es mostra què ocorria en visitar MySQL.com quan estava infectat, disponible des de:
Encara hi queden dubtes per resoldre respecte al compromís. No es tenen dades oficials sobre el temps que ha estat compromés el sistema i com ha ocorregut. En aquests moments sembla que la pàgina opera correctament.