Wurm verbreitet sich per MySQL

Schwache Root-Passwörter öffnen Wurm die Tür. Das SANS Internet Storm Center (ISC) warnt vor einem neuen "Bot", der sich über MySQL verbreitet. Der Wurm sucht auf dem MySQL-Port 3306 nach Opfern, die, einmal infiziert, über einen IRC-Server mit weiteren Instruktionen versorgt werden.

27. Januar 2005 um 18:28 Uhr / Jens Ihlenfeld

53 Kommentare News folgen (öffnet im neuen Fenster)

Der Wurm befällt nur Windows-Systeme und verbindet sich anschließend mit einem IRC-Server, sucht aber zudem im Netz auch nach weiteren potenziellen Opfern. Dabei nutzt der Wurm den "MySQL UDF Dynamic Library Exploit", heißt es seitens des SANS ISC(öffnet im neuen Fenster) .

Um dabei aber zum Erfolg zu kommen, muss sich der Wurm als Nutzer "root" bei MySQL anmelden. Dazu ist er mit einer Liste von Passwörtern ausgestattet, die er einfach ausprobiert, um so Zugang zum Server zu erhalten. Anschließend legt er eine Tabelle "bla" in der Datenbank "mysql" an, die bei MySQL standardmäßig vorhanden ist. Die Tabelle füllt er mit einem BLOB-Feld namens "line".

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

IT-System Engineer Automatisierung & Betrieb (m/w/d) MHM HR GmbH, Stuttgart,Homeoffice (öffnet im neuen Fenster)

IT Administrator Microsoft 365 & Azure (m/w/d) Schreiner Group GmbH & Co. KG, Hebertshausen (öffnet im neuen Fenster)

Datenexperte (*gn) Kreissparkasse Herzogtum Lauenburg, Mölln (öffnet im neuen Fenster)

(Senior-) Systemadministrator (m/w/d) OmniNet GmbH, Eckental (öffnet im neuen Fenster)

Senior Specialist Operations Technology (Projects & Processes) HAVI Logistics GmbH, Duisburg (öffnet im neuen Fenster)

Forschungsingenieur für Inkjet-Technologie (m/w/d) Paul Leibinger GmbH & Co. KG, Tuttlingen (öffnet im neuen Fenster)

Duales Studium (B.Sc.) - Wirtschaftsinformatik (m/w/d) VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

Anschließend schreibt sich der Wurm in die Datenbank, lässt sich dann als Datei namens "app_result.dll" ausgeben und löscht die Tabelle wieder. Er legt zudem eine MySQL-Funktion namens "app_result" an, die dann die zuvor gespeicherte "app_result.dll" verwendet, heißt es in der SANS-Beschreibung(öffnet im neuen Fenster) . Letztendlich führt sich der Wurm selbst aus.

Eine wirkliche Schwachstelle in MySQL wird dabei nicht ausgenutzt, vielmehr zielt der Wurm auf schwache Root-Passwörter in MySQL ab. Daher sollte zum einen ein entsprechend sicheres Passwort verwendet werden, zudem ist es ratsam, nur lokale Zugriffe auf den Root-Account zuzulassen.

Zur Startseite 53 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

Sicherheitslücken im ISC DHCP-Server 3

ISC DHCP Version 3.0.1rc14 behebt die Fehler. Das US-Cert warnt vor zwei Sicherheitslücken im DHCP-Server 3 des Internet Software Consortiums (ISC). Damit ist es Angreifern möglich, DHCP-Server lahm zu legen, möglicherweise lässt sich aber auch Code auf verwundbaren Systemen ausführen.

Smartphones: Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

Black Hat 2017 Erneut findet sich eine schwerwiegende Sicherheitslücke in der Broadcom-WLAN-Firmware. Der Entdecker der Lücke präsentierte auf der Black Hat ein besonders problematisches Szenario: Eine solche Lücke könnte für einen WLAN-Wurm, der sich selbst verbreitet, genutzt werden.

Relevante Themen