Страница 1 из 1

mysqld создаёт файлы в папке плугинов MariaDB

Добавлено: 16 май 2017, 11:13
defs
Файлов создаётся много, только логфайл за 6 часов из ProcessMonitor (с фильтром по указанной папке) весит более 200 мег.
Файлы сразу блокируются антивирусом с указанием на троянов.
За неделю создаётся несколько тысяч файлов, часть из них сразу удаляется антивирусом, часть остаётся. Те, что остаются - или нулевого размера или 6144 байт, внутри все одинаковые.
Имена файлов: или случайный набор символов с расширением .dll или sillyr00_x.so (вместо 00 разные цифры).

Заражены чаще всего Nitol.A, но бывают и другие.
https://yadi.sk/i/5sU9hNkX3JCPTM

Файлы создаются процессом: openserver\modules\database\MariaDB-10.1-x64\bin\mysqld.exe
https://yadi.sk/i/EpVN2t6y3JCPrE

Процесс, создающий файлы запущен следующим образом: openserver\modules\database\MariaDB-10.1-x64\bin\mysqld.exe --defaults-file="d:\openserver\modules\database\MariaDB-10.1-x64\my.ini" --user=root --standalone --console

Virustotal знает этот файл, в нём чисто:
https://virustotal.com/ru/file/5a7a5a23 ... /analysis/
 File version 10.1.14.0
Signature verification Signed file, verified signature
Signing date 12:19 PM 5/8/2016
Signers 	
[+] MariaDB Corporation Ab
[+] DigiCert High Assurance Code Signing CA-1
[+] DigiCert
Counter signers 	
[+] Symantec Time Stamping Services Signer - G4
[+] Symantec Time Stamping Services CA - G2
[+] Thawte Timestamping CA



Друзья, так и должно быть?

Re: mysqld создаёт файлы в папке плугинов MariaDB

Добавлено: 16 май 2017, 12:52
Максим
Поскольку вы открыли доступ к MySQL на весь интернет, то да, так и должно быть. Вирусы не будут ждать пока хозяин сервера научится пользоваться фаерволом.

Re: mysqld создаёт файлы в папке плугинов MariaDB

Добавлено: 16 май 2017, 15:12
defs
Максим, спасибо за содержательный развёрнутый ответ (простите за сарказм), но всё-же. Что посоветуете сделать?

Re: mysqld создаёт файлы в папке плугинов MariaDB

Добавлено: 16 май 2017, 16:17
Максим
defs писал(а):Максим, спасибо за содержательный развёрнутый ответ (простите за сарказм), но всё-же. Что посоветуете сделать?
Советую воспользоваться фаерволом и соответственно закрыть порт MySQL для доступа извне.