Wurm bricht in unsichere Windows-MySQL-Datenbanken ein

Das Internet Storm Center warnt vor einem Wurm, der über verwundbare MySQL-Installationen in Windows-Rechner eindringt und sich mit IRC-Servern zum Empfang weiterer Befehle in Verbindung setzt. Derzeit instruiert die Server den mit Bot-Funktionen ausgesta

Das Internet Storm Center warnt vor einem Wurm, der über verwundbare MySQL-Installationen in Windows-Rechner eindringt und sich mit IRC-Servern zum Empfang weiterer Befehle in Verbindung setzt. Derzeit instruiert die Server den mit Bot-Funktionen ausgestatteten Wurm, nur nach weiteren angreifbaren Systemen zu suchen und in sie einzudringen. Bislang sollen über 8500 Systeme weltweit befallen sein.

Der Bot nutzt den Ende Dezember veröffentlichten MySQL UDF Dynamic Library Exploit, um in eine Tabelle geschriebenen Code mittels User Defined Functions auszuführen. Vorher muss der Bot sich allerdings über das Netzwerk mit dem MySQL-Server auf Port 3306 verbinden und anmelden. Standardmäßig ist eigentlich nur eine lokale Anmeldung (localhost) an den Server möglich. Zusätzlich muss er das Passwort des Root-Accounts der MySQL-Datenbank knacken. Dazu probiert er zunächst eine lange Wörterliste aus, ehe er zu einem Brute-Force-Angriff übergeht. Ist er mit der Datenbank verbunden, erzeugt er die Tabelle "bla" und kopiert ausführbaren Code hinein. Anschließend schreibt er mit dem Kommando:

'select * from bla into dumpfile "app_result.dll"'

diese Library auf die Festplatte und löscht die Tabelle "bla". Um "app_result.dll" nun zu starten, erzeugt der die User Defined Function app_result, die die Library aufruft und eine neue Instanz (Spoolcll.exe) des Bot/Wurms zum Leben erweckt. Läuft MySQL mit System-Rechten, so erbt der Bot diese beim Aufruf.

Quelle:
heise.de
isc.sans.org
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

Neue Version des SSH-Clients PuTTY verfügbar

Der beliebte freie SSH-Client für Windows PuTTY steht in der Version 0.58 zum Download bereit, ebenso die als Sourcecode verfügbare Unix-Portierung. SSH besteht aus einer ganzen Kombination von Protokollen, die kryptographisch abgesicherte Kommunikation i ...

admin

Autor : admin
Category: Software & Web-Development

Neue Version des PHP Accelerator

PHPA 1.2 für Linux bringt zahlreiche Verbesserungen Nick Lindrige hat seinen PHP Accelerator jetzt in der Version 1.2 veröffentlicht. Die kostenlose Software beschleunigt die Ausführung von PHP-Scripten auf dem Server durch verschiedene Caching-Me ...

admin

Autor : admin
Category: Software & Web-Development

Maguma Free

Maguma gibt ihre neueste Version 1.3.x von Maguma Studio | Free frei. Diese Version bietet nicht nur verbesserte Stabilität an, sondern hat auch zum Vorgängermodell 1.2 eine aktualisierte Schnittstelle mit mehr anpassbaren Eigenschaften. Mit der Freigabe ...

admin

Autor : admin
Category: Software & Web-Development

Warum Lecturio auf Bootstrap setzt!

Schnell und einfach umzusetzen, trotzdem responsiv und individualisierbar – das sind die Hauptgründe, warum Lecturio auf Bootstrap setzt. ...

admin

Autor : admin
Category: Miscellaneous

Schwere Sicherheitslücke in PHP 5.3.9

Die Sicherheitslücke erlaubt das Ausführen von PHP-Code über das Netzwerk. Suhosin bringt Abhilfe öffnet jedoch alte Probleme ...

admin

Autor : admin
Category: Software & Web-Development

ShiftEdit - online IDE für Web-Entwickler

Mit ShiftEdit können PHP, Ruby, Python, Perl, HTML, CSS and JavaScript Dateien über FTP, SFTP online geändert werden. ...

phpler

Autor : phpler
Category: Software & Web-Development

Maßstäbe im Shophosting seit über 15 Jahren
Greifswald, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release