Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties, 21.856 views •
Submitter: Ram0n

De MySQL-server is maandag door onbekenden gekraakt. Op de site werd kwaadaardige javascript-code geplaatst waardoor de browser naar een website werd gestuurd waarop malware was te vinden. Mysql.com zou nu weer veilig zijn.

Dat meldt de website Armorize. Ook op GoT wordt melding gemaakt van malware op Mysql.com. De kwaadaardige code was verpakt in een iframe. De javascript-code zorgde dat de bezoeker via een redirect naar een domein werd gestuurd waarop de BlackHole-exploit is te vinden. Deze poogt het besturingssysteem te besmetten door te zoeken naar diverse kwetsbaarheden in, onder andere, diverse browsers en plugins als Java, Adobe Flash en Adobe Reader. De gebruiker zou geen dialoogvensters in beeld krijgen waardoor de malware zich stiekem weet te installeren.

Volgens de VirusTotal-website weet slechts 9 procent van de meestgebruikte scanners de malware te detecteren. Ook is nog niet bekend wat de malware precies uitvoert op een besmet systeem. De beheerders van Mysql.com hebben inmiddels de malware van de website verwijderd. Hoe de website van de opensource-database, inmiddels eigendom van Oracle, precies besmet is geraakt met de kwaadaardige code, is nog niet bekend.

Het is niet de eerste maal dat Mysql.com is gekraakt. In maart van dit jaar wisten hackers via een sql-injectie een dump van de database te maken.

Reacties (35)

Die laatste regels doet het m hele maal. MySQL website met een SQL injectie weten te misbruiken.

Je zou je toch kunnen afvragen wie die website dan maakt.

Het is de laatste tijd wel raak, vrijwel ieder bedrijf waarvan je zou verwachten dat ze toch echt de beveiliging wel op orde zouden hebben moet er aan geloven.

Jammer dat het allemaal zo dicht getimmerd moet worden.
Eerder jammer dat er zoveel dicht te timmeren valt.
Valt wel mee hoor. Het is vooral een kwestie van de juiste tools gebruiken. De standaard client API van MySQL valt daar niet onder.
Er is weinig mis met de api van de mysql client. Wel met programmeurs/beheerders die poort 3306 openzetten zodat je de mysql clienttools remote kan gebruiken.
EN natuurlijk met programmeurs die het idee van sql parameters niet snappen.
Jammer dat bedrijven die pretenderen veilige software/diensten aan te bieden niet zo secuur omspringen met d'r eigen netwerk.
Je zou je toch kunnen afvragen wie die website dan maakt.
Ik ben het met je eens dat het wat ironisch klinkt allemaal, maar als je er even over na gaat denken dan snap je ook wel dat degene die de website maakt absoluut niet degene is die ook aan MySQL werkt, laat staan dat ze kaas hebben gegeten van beveiliging tegen SQL injectie (wat overigens niet moeilijk is, maar ja, mensen waren jaren geleden daar een stuk minder geïnformeerd over - en de website is nou ook niet echt state of the art te noemen)

[Reactie gewijzigd door .oisyn op 26 september 2011 21:25]

SQL injectie is geen fout van de database-server zelf, maar de implementatie daarvan in de client.

Neemt natuurlijk niet weg dat het slordig is, maar een goede DBA is niet perse een goede developer.
Wat veel schokkender is, is wat er nog meer had kunnen gebeuren. Als met javascript niet naar malware was gelinkt, maar de links op de MySQL download pagina waren aangepast naar iets heel anders, hadden vele mensen een versie voorzien van trojan kunnen binnenhalen.

Het lijkt niet zo gevaarlijk, dat Javascript. Maar eigenlijk is het dat toch wel.
Bedoel je een *nix trojan die mensen sneller zullen vertrouwen omdat het in de binaries zit van MySQL die je installeert met een sudotje? (Gelukkig heb je altijd nog repos... totdat ze de Ubuntu repos hacken)
Ik vraag me af hoeveel mensen direct van de website downloaden en installeren. Ik denk dat de meeste mensen MySQL draaien onder linux/unix, waar bijna iedereen alles installeert via de repositories.

Voor de repositories wordt alles weer gecompileerd van bron (omdat ze vaak aanpassingen maken voor de specifieke distributie) en wordt er natuurlijk naar een diff gekeken met de vorige versie. Als daar ineens heel veel wijzigingen in staan valt dat snel op. Ik denk dus dat het gevaar hiervan wel meevalt.

Natuurlijk zijn er wel wat mensen die MySQL onder Windows draaien, maar dat is dan meer om thuis te ontwikkelen. Voor gehoste websites wordt toch vaan linux/unix gebruikt.
Inderdaad en voor thuis ontwikkeling gebruik je toch wel van die simpele tools zoals EasyPHP (of gelijkwaardig)
Ironisch genoeg is het niet altijd mogelijk MySQL (of tools als MySQL workbench en connection libs) via de repository te installeren. Ook is dat geen "oplossing" voor het risico van besmette bestanden, je verplaatst alleen de verantwoordelijkheid van de maker (mySQL) naar de beheerder van de repository. Het risico is met beide opties dus vergelijkbaar. Het is slechts een kwestie van tijd voordat iemand een gehackte versie van een populair programma in 1 van de grote repositories weet te krijgen.
Ik kwam het vandaag inderdaad tegen! Ik gebruik Microsoft Security Essentials en die had 'm meteen door - ik meen dat ie 'm aanmerkte als Trojan - en aan raadde me aan 'm meteen te laten verwijderen, eveneens gedaan door Security Essentials.

Toch wel diep treurig dat de site van zo'n grote en belangrijke organisatie op het gebied van webdata (meer dan eens) gehackt wordt.
Maar volgens mij is elke site te hacken als je maar wilt.
Zolang er maar winst uit te halen valt, en de juiste investering het waard is.

Volgens mij heeft dit lang niet te maken met één oorzaak of één lek wat "zomaar" dicht te zetten is, volgens mij is dit ook de reden waarom ik een virus scanner heb.

Alles wat door mensen is gemaakt kan gekraakt worden, gewoon goed blijven opletten en hoelang je zelf ook kennis hebt wat je doet / kan is er niks aan de hand.
Zijn die exploits toevallig Browser- of OS-gebonden? Ook de moeite van het vermelden waard he! En dan heb je nog de malware die dan geinstalleerd wordt, is dat ook Browser- of OS-gebonden?
Calc.exe zegt genoeg.
Browser maakt niet uit het gaat meer om de plugins zoals een oude Java versie.
Linuxers hebben niet zoveel te vrezen. :)
Ben ik even blij wat ik daarnet niet doorgeklikt heb naar forum.mysql.com, want gaf mijn volgende melding: "Deze site kan schade toebrengen aan uw computer."
Dit artikel geeft een beetje een vreemde indruk, het kwam op mij over alsof de MySQL-server van Tweakers gehackt is... misschien even goed om te vermelden dat het om mysql.net gaat.
Dat had ik ook inderdaad, met name de eerste paragraaf... Maar er staat wel dat het om mysql.net gaat.

[Reactie gewijzigd door DutchStoner op 26 september 2011 22:13]

Het schijnt ook dat deze hack gewoon is verkocht in de underground: http://krebsonsecurity.co...ld-for-3k-serves-malware/
Het lijkt erop dat mysql.com te koop heeft gestaan op underground hacker sites voor 3000$. Er zijn volgens inschattingen zo een 120.000 bezoekers die bloot hebben gestaan aan de malware. Er vanuit gaande dat de exploit software (Blackhole) een met behulp van java exploits een succes rate van 10% heeft, betekend dit dat er zo een 12.000 botjes op iemands botnet erbij zijn gekomen.

Bronnen:
http://krebsonsecurity.co...y+%28Krebs+on+Security%29
http://krebsonsecurity.co...t-to-exploit-pack-makers/

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True