Wurm bricht in unsichere Windows-MySQL-Datenbanken ein

Das Internet Storm Center warnt vor einem Wurm, der über verwundbare MySQL-Installationen in Windows-Rechner eindringt und sich mit IRC-Servern zum Empfang weiterer Befehle in Verbindung setzt. Derzeit instruiert die Server den mit Bot-Funktionen ausgesta

Das Internet Storm Center warnt vor einem Wurm, der über verwundbare MySQL-Installationen in Windows-Rechner eindringt und sich mit IRC-Servern zum Empfang weiterer Befehle in Verbindung setzt. Derzeit instruiert die Server den mit Bot-Funktionen ausgestatteten Wurm, nur nach weiteren angreifbaren Systemen zu suchen und in sie einzudringen. Bislang sollen über 8500 Systeme weltweit befallen sein.

Der Bot nutzt den Ende Dezember veröffentlichten MySQL UDF Dynamic Library Exploit, um in eine Tabelle geschriebenen Code mittels User Defined Functions auszuführen. Vorher muss der Bot sich allerdings über das Netzwerk mit dem MySQL-Server auf Port 3306 verbinden und anmelden. Standardmäßig ist eigentlich nur eine lokale Anmeldung (localhost) an den Server möglich. Zusätzlich muss er das Passwort des Root-Accounts der MySQL-Datenbank knacken. Dazu probiert er zunächst eine lange Wörterliste aus, ehe er zu einem Brute-Force-Angriff übergeht. Ist er mit der Datenbank verbunden, erzeugt er die Tabelle "bla" und kopiert ausführbaren Code hinein. Anschließend schreibt er mit dem Kommando:

'select * from bla into dumpfile "app_result.dll"'

diese Library auf die Festplatte und löscht die Tabelle "bla". Um "app_result.dll" nun zu starten, erzeugt der die User Defined Function app_result, die die Library aufruft und eine neue Instanz (Spoolcll.exe) des Bot/Wurms zum Leben erweckt. Läuft MySQL mit System-Rechten, so erbt der Bot diese beim Aufruf.

Quelle:
heise.de
isc.sans.org
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

T-DSL-Flatrate wird deutlich teurer

Neue volumenabhängige Tarife ab 1. Oktober T-Online erweitert ab dem 1. September 2002 sein Portfolio um neue Zugangstarife für die Breitband-Nutzung und für Geschäftskunden. Die T-DSL-Flatrate wird in diesem Zusammenhang teurer und soll ab 1. Nov ...

admin

Autor : admin
Category: Software & Web-Development

TraceWatch 0.3 Released

TraceWatch, Real-Time Web-Statistik, ist nach langem Stillstand jetzt in der Version 0.3 verschienen. ...

admin

Autor : admin
Category: Miscellaneous

Vier Anbieter dominieren das Web

Nach einer gestern veröffentlichten Studie von Jupiter Media Metrix dominieren in den USA vier Inhalte-Anbieter das Web. Auf das Quartett entfallen 50 Prozent aller Online-Minuten. Marktführer ist demnach AOL Time Warner mit 32,0 Prozent, gefolgt von Micr ...

admin

Autor : admin
Category: Software & Web-Development

Neuer Wurm verbreitet sich per ICQ

Kaspersky Labs warnt vor einem neuen Wurm, der sich zur Verbreitung den beliebten Messenger ICQ zunutze macht. Der Antiviren-Spezialist schätzt, dass bereits 50.000 Rechner mit "Bizex" infiziert sind. Anwender erhalten per ICQ eine Nachricht, die sie ...

admin

Autor : admin
Category: Software & Web-Development

Bei DSL haben es Hacker leicht

Computer-Spionage ist illegal. Ob sich jemand bei seinem Nachbarn oder einer Firma einhackt, er macht sich in beiden Fällen strafbar. Das Schlimmste, was Ihnen passieren kann, ist ein Hacker, der Ihren PC benutzt, um sich in andere Rechner einzuschleusen. ...

admin

Autor : admin
Category: Software & Web-Development

Maguma Workbench 2.5 verfügbar

Das Unternehmen Maguma hat am 1. Juni die neue Version 2.5.0 seiner modularen PHP-DIE Maguma Workbench auf den Markt gebracht. Das neue Release soll unter anderem nun auch die Open Source-Sprache Python unterstützen. Laut Release Notes wird mit der neue ...

admin

Autor : admin
Category: Software & Web-Development

Maßstäbe im Shophosting seit über 15 Jahren
Greifswald, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release