Web

 

Wurm infiziert MySQL auf Windows

28.01.2005

MÜNCHEN (COMPUTERWOCHE) - Seit Mittwoch verbreitet sich eine neue Variante des Wurms "Forbot", die schlecht abgesicherte MqSQL-Installationen auf Windows-Systemen infiziert, warnen Security-Experten.

Nach Angaben von Johannes Ullrich, Chief Technology Officer beim Storm Center des Security-Dienstleisters SANS Institute, sind bereits mindestens 8000 MySQL-Systeme infiziert. Forbot verbreitet sich den Experten zufolge über den Port 3306 und versucht zunächst über einen simplen "Dictionary"-Angriff schwache Administratorenpasswörter zu knacken. Dabei probiert er laut Ullrich Wörter aus einer eine Liste mit rund 1000 Einträgen durch. Nach dem Zugriff mit Root-Rechten auf betroffene Systeme nutzt der Schädling den seit Dezember bekannten "MySQL UDF Dynamic Library Exploit". Zunächst legt Forbot eine Tabelle namens "bla" an, in die Schadroutinen kopiert werden. Anschließend wird die Bibliothek über den Befehl "select * from bla into dumpfile "app_result.dll"" auf die Festplatte geschrieben und die Tabelle gelöscht. "App_result.dll" wir im Anschluss über die nutzerdefinierte Funktion "app_result", gestartet. Das erzeugt eine neue Instanz des Wurms mit der Bezeichnung "Spoolcll.exe". Einmal aktiv, versucht Forbot über die Ports 5002 und 5003 Kontakt zu diversen IRC-Servern (Internet Relay Chat) aufzunehmen.

Der Wurm verbreite sich nicht aufgrund einer Sicherheitslücke in MySQL, sagen die Spezialisten des Storm Center. Er nutze vielmehr eine generell verbreitete Unsitte, Administratorenzugänge mit zu schwachen Passwörtern zu schützen.

Als Gegenmaßnahmen empfehlen die Experten, ein starkes Kennwort zu wählen, den Root-Account auf wenige Hosts (möglichst auf den lokalen Host) zu begrenzen, die SSL-Funktionen (Secure Sockets Layer) von MySQL zu nutzen und die Firewall-Einstellungen zu optimieren. Demzufolge sollte der Port 3306 gesperrt und nur für die vorher definierten Hosts freigegeben werden. (lex)