未知的攻击者入侵了开源数据库MySQL的主要网站

9月26日，未知的攻击者入侵了开源数据库MySQL的主要网站，并在短时间内将恶意软件提供给了毫无戒心的访问者。据Armorize Technologies创始人，总裁兼首席执行官Wayne Huange称，攻击者将JavaScript代码注入了Oracle拥有的MySQL.com上，以将访问者转移到托管BlackHole攻击工具包的恶意网站，该工具包将恶意软件自动下载到受感染的计算机上。该公司表示，攻击已被禁用，该站点不再提供恶意软件。

Huang在Armorize博客上写道，MySQL.com的主页被泄密，以迫使访问者加载JavaScript文件。该文件创建了一个IFRAME，将受害者不知不觉地重定向到了位于佛罗里达州的falosfax.in托管的页面，并再次重定向到了瑞典的.cx.cc域。进入页面后，该网站上托管的BlackHole套件会利用用户的Web浏览器并安装插件来下载恶意软件。攻击者针对此攻击修改了Omniture SiteCatalyst插件使用的JavaScript文件，该文件用于跟踪网站指标。

Huang写道：“访问者无需单击或同意任何内容;仅使用易受攻击的浏览平台访问mysql.com即可导致感染。”

BlackHole是一种广泛使用的工具包，其中包含针对Web浏览器以及其他Web组件和插件(例如Flash Player，Adobe Reader和Java)中的漏洞的预加载漏洞。它利用未修补的软件来破坏计算机。按下载驱动攻击是一种常见的技术，通常依靠JavaScript在用户不知情的情况下将用户静默重定向到恶意站点。

根据恶意软件跟踪器VirusTotal的数据，目前在44个主要安全厂商中，有8家检测到了该恶意软件。

趋势科技研究人员发现了证据，表明攻击者正在向地下论坛上的mysql.com及其子域的某些群集服务器出售根访问权限。趋势科技高级威胁研究员Maxim Goncharov 在恶意软件博客上写道，卖方以3,000美元的价格提供了一个shell控制台窗口，该窗口可通过根目录访问这些服务器。

贡恰洛夫写道，网络罪犯“冒昧”到足以出售对特定系统的管理访问权限。

据Sucuri Security的研究人员称，该网站最初是由JavaScript恶意软件入侵的，而该恶意软件通常与FTP密码被盗有关。Sucuri研究人员在博客上写道，该恶意软件可能破坏了属于MySQL.com团队成员的计算机，并从FTP客户端窃取了密码。

MySQL是一个开放源代码数据库，最初由一个独立实体拥有，但于2008年被Sun Microsystems收购。后来，该公司于2009年收购Sun，它成为Oracle的一部分。趋势科技的Goncharov说，该团队上周与MySQL联系，但尚未收到回复。该网站似乎在一天中的三个小时内提供了恶意软件。

通过出售根访问权限，最初危害mysql.com的恶意攻击者可能不是负责在站点上提供恶意软件的BlackHole攻击的人。