[前][次][番号順一覧][スレッド一覧]

mysql:11804

From: "pix@xxxxxxxxxx" <"pix@xxxxxxxxxx" <pix@xxxxxxxxxx>>
Date: Tue, 26 Jul 2005 10:02:33 +0900
Subject: [mysql 11804] バックドア(BKDR_SHELLFUR.A)対策について

はじめまして。水野と申します。
本業はオープン系PGなのですが、Webアプリ作成にMySQLを使用して勉強
している者です。

昨夜、自分の管理するサーバにバックドアが仕掛けられているのを発見
しました。侵入手法を突き止め対策を取る為、お力を貸していただけれ
ばと投稿させていただきます。

侵入されたのは生成されたファイルのタイムスタンプと動作異常の発生
タイミングから2日前と判断しています。現在はシステムバックアップ
を用いて侵入前の環境に戻していますが、侵入手法が判らず具体的な対
策が取れていないため再度公開が出来ない状況となっています。


被害状況:
・C:\mysql\data\FurQ.dll というファイルが作られる。
・furqと vuln というデータベースが作成される。
・system32\dllcache\mysql ディレクトリ内に複数のプログラムファイル
 が作成され、mstask32.exe というプログラムがレジストリ内で自動起
 動設定される。
・一部システムファイル(netstat等)が削除される。

なお、レンドマイクロのウィルスチェックにより、
mstask32.exeはBKDR_IRCBOT.I。
FurQ.dllはBKDR_SHELLFUR.Aと判定されました。


環境:
WindowsServer2003, MySQL 4.0.16-nt, MySQL ODBC 3.51
OSのアップデートはWindowsUpdateによる自動適用を確認。
ODBC経由で自作のサービスやWebアプリを動作させMySQLを使用。
MySQL rootアカウントのパスワードは単語と乱数を組み合わせた
16文字以上のパスワードを使用。
FW(BlackICE)により外部からTCP/UDP3306へのパケットを破棄設定。


こちらのMLの過去ログからUDF ワームの亜種ではないかと考えました。
しかし、UDF ワームの対策としてはFWとパスワードの強化と記されてお
り途方に暮れています。"FurQ.dll"については非常に情報が少ないので、
どのような事でもかまいませんので心当たりが有りましたら教えて頂け
れば大変助かります。

長文にお付き合いいただき有難うございました。


---------
  水野


[前][次][番号順一覧][スレッド一覧]

->   11804 2005-07-26 10:02 ["pix@xxxxxxxxxx" <pi] バックドア(BKDR_SHELLFUR.A)対策について 
     11805 2005-07-26 10:21 ┗["Keiji Watanabe" <ke]                                       
     11807 2005-07-26 17:41  ┗["pix@xxxxxxxxxx" <pi]                                     
     11808 2005-07-26 18:20   ┗[Kiyotaka Doumae <don]                                   
     11809 2005-07-26 23:52    ┗["T.Sasaki" <papasan2]                                 
     11810 2005-07-27 08:49     ┗["T.Sasaki" <papasan2]