为什么80%的码农都做不了架构师?>>>
amd.dll入侵事宜:
由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会通过3306端口的MySQL服务获取到Windows的管理权限,并在系统中产生amd.dll基本后门程序,并不断释放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序,并在系统分区根目录,Windows/system32目录,Windows/system32/dllcache目录,MySQL程序拓展目录等地方产生残留,导致系统性能降低,系统权限表出现部分混乱。
此后门病毒将对安装Microsoft Security Essentials的用户产生不小的麻烦,MSE将有一定几率认出amd.dll和boot*.exe为后门木马或后门下载病毒并进行删除处理,由于MSE机制,其对boot*.exe文件需要20秒左右才能显示查杀完成,期间将占用绝大部分的CPU资源,但是被查杀的文件实际上并没有被成功删除,而是仍然残留在系统中,并且系统目录下的病毒无法进行控制。
入侵环境:
1. 安装有MySQL 5.1.30以上的版本,包括最新的MySQL 5.5.x版本,目前还未修复
2. MySQL服务的端口设定在TCP 3306
3. 3306端口暴露在广域网下,或者暴露在含有病毒的局域网下,包括DMZ主机
4. MySQL的root账号密码属于可暴力破解范围之内
满足以上4个条件的MySQL服务均可能感染此后门,然而大部分测试使用的MySQL服务器都是满足以上4个条件的。
阻止入侵的临时解决方案:
1. 转移MySQL的服务端口,将TCP 3306封闭;
2. 将TCP 3306端口设定防火墙规则,不允许暴露在本机网络之外,当然这将会导致remote access权限的无效化;
3. 更改root账户密码,使其密码复杂度超出暴力破解范围之外,比如不是任何一个英文单词,或者存在混合字符。
清除计算机内部残留的后门程序:
1. 根据amd.dll释放路径,进入各释放目录进行手动删除,前提是一定要先阻止入侵。
2. 断掉网络或阻止入侵,使用后门专杀进行全盘扫描。
从目前分析来看,此后门非注入式后门程序,比较容易手动排除,但是这个后门确实让人有种想要格式化的冲动。。。