Anonomous ha rivendicato la responsabilità oggi per l'attacco Denial of Service contro wikileaks. Stanno usando un nuovo software chiamato RefRef . Sembra sfruttare MySQL sfruttando la potenza di elaborazione del server contro se stesso. Questo ovviamente non richiede botnet.
Non riesco a trovare molte informazioni su questo nuovo software. Mi piacerebbe sapere cosa devo aggiustare MySQL per proteggere da questo exploit.
Se questo collegamento è il DOS ho fatto qualche ricerca.
mysql> select version(); +-----------+ | version() | +-----------+ | 5.5.9 | +-----------+ 1 row in set (0.01 sec) mysql> select benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f); ^CCtrl-C -- sending "KILL QUERY 193" to server ... Ctrl-C -- query aborted. +---------------------------------------------------------------------------+ | benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f) | +---------------------------------------------------------------------------+ +---------------------------------------------------------------------------+ 1 row in set (3.55 sec) mysql>
Non fa crash del demone MySQL sembra solo fare quello che il benchmark si suppone che la funzione faccia, valuta l'espressione 0x70726f62616e646f70726f62616e646f70726f62616e646f 99999999999 volte che richiederà molto tempo. 0x70726f62616e646f70726f62616e646f70726f62616e646f è la stringa ASCII "probandoprobandoprobando" dove "probando" è la parola latina per "proving", immagino che qualcuno volesse dimostrare che la funzione benchmark funziona come dovrebbe.
Quindi il problema originale è assicurarsi che siano protetti dall'iniezione SQL, che dovrebbe essere abbastanza semplice se si utilizza un'astrazione di database sensata e non si creano le proprie query SQL con concatenazione di stringhe, ecc.
Per ora puoi semplicemente bloccare questi tipi di attacchi con una regola (.htaccess):
RewriteEngine on
RewriteCond %{QUERY_STRING} .*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark) [NC]
RewriteRule .* - [R=406,L]
Puoi anche impostare una regola globale (mod_security) sul tuo sistema per bloccare questi tipi di richieste per tutti i tuoi vhosts.
Si infetta tramite SQL injection, quindi fintanto che il tuo software non è vulnerabile all'iniezione SQL (e non esporti la tua istanza MySQL su Internet) non sarai vulnerabile.
Per quanto riguarda il modo in cui assicuri che il tuo sistema non sia vulnerabile all'iniezione SQL ..... non hai fornito alcuna informazione su quale software stai utilizzando.
Hai alcune idee inusuali sulla sicurezza. Non è un prodotto che puoi acquistare o scaricare. Non dovresti aspettare che qualcuno abbia violato prima di iniziare a installare le patch.
Leggi altre domande sui tag sql-injection denial-of-service