MySQL.com ponownie zhackowane, na stronie ktoś umieścił złośliwy kod

Historia w MySQL.com lubi się powtarzać... Odkąd Oracle przejął firmę, w okresie 6 miesięcy były już dwa włamania, ale tym razem jest znacznie ciekawiej, ponieważ każdy mógł kupić dostęp do uprawnień administratora na serwerze MySQL.com za jedyne 3000$.

Na rosyjskim forum pojawiło się ogłoszenie...

Najwidoczniej ktoś postanowił skorzystać z oferty i transakcja doszła do skutku, ponieważ na stronie mysql.com został umieszczony złośliwy kod.

Po wejściu na stronę mysql.com, użytkownik był w sposób dla niego niewidoczny przekierowany na inną stronę - hxxp://falosfax.in/info/in.cgi?5, która zawierała zestaw expoitów (BlackHole exploit pack) na znane podatności m.in. w Javie oraz Adobe Readerze.

(kod umieszczony na mysql.com po "rozkodowaniu")

Na ironię można dodać, że właścicielem Javy która była wykorzystywana do dalszego ataku jest również firma Oracle.

Cała sytuacja została wykryta przez firmę Armorize która przeprowadziła szczegółową analizę http://blog.armorize.com/2011/09/mysqlcom-hacked-infecting-visitors-with.html, oraz udostępniła materiał video ukazujący, co się działo po wejściu na stronę mysql.com.