×

Laat je stem gelden!

Dit jaar organiseren we voor de elfde keer de Tweakers Awards! Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? Laat je stem gelden en ontvang 50 ippies. Je maakt bovendien kans op een Philips Hue Starter Pack, JBL Charge 3, Call of Duty: WWII of twee vrijkaarten voor de uitreiking op donderdag 1 februari!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MySQL-worm 'MySpooler' valt servers aan

Sinds gisteren dwaalt er een worm over het internet, die MySQL-servers op Windows-systemen probeert te misbruiken, zo meldt The Register. De worm genaamd 'MySpooler' is opzoek naar Windows machines die MySQL 4.0.21 of later draaien op poort 3306 en probeert vervolgens aan de hand van een lange lijst met wachtwoorden het root-wachtwoord te vinden. Als de worm dit wachtwoord gevonden heeft, maakt hij een tabel aan met daarin een executable. Dit bestand wordt vervolgens via de database op de harde schijf opgeslagen waarna de tabel weer verwijderd wordt. Middels de MySQL UDF Dynamic Library-lek wordt met een eigen MySQL-functie de executable als root gestart, waarna deze bot het lokale netwerk afzoekt naar nieuwe slachtoffers. Zodra de worm binnen is, maakt deze ook contact met een Zweedse IRC-server, in afwachting van nieuwe instructies.

MySQL logo nieuwe stijlIn de eerste paar uur infecteerde de worm ongeveer 110 systemen per minuut. De kans is erg groot dat de bot gebruikt wordt om een DDoS-aanval (distributed denial of service) uit te voeren of om er alleen mee te dreigen om zo bedrijven geld afhandig te maken. Al vrij snel waren er genoeg systemen besmet om bijvoorbeeld de website van Microsoft plat te krijgen. De worm kan vrij eenvoudig gestopt worden door geen verbindingen met poort 3306 toe te staan, door een ingewikkeld root-wachtwoord in te stellen, of door het root-account alleen toegankelijk te maken voor mensen die lokaal zijn ingelogd.

Door

63 Linkedin Google+

Bron: The Register

Reacties (63)

Wijzig sortering
Hoe ga je eigenlijk meten hoeveel systemen er geinfecteerd zijn en dan al helemaal hoeveel per minuut?
En dat niet alleen, zo'n wormverspreiding zal een exponentieel karakter hebben: er zullen aan het einde van de 'gemeten' uren veel meer infecties per seconde plaatsvinden dan aan het begin.

Het is dus kortom een nietszeggend cijfer |:(
Zooooo wat heeft dit lang geduurd zeg! Ik kan je uit ervaring vertalen dat dit "lek" al maanden aanwezig is. Het is niet eens een echte bug of lek maar gewoon onhandig geprogrammeerd. Trouwens heeft het versie nummer er niet eens zoveel mee te maken ;).

Behalve deze manier is er nog een andere manier om eventueel binnen te komen.
Wat bedoel je precies met onhandig geprogrammeerd ?
Lijkt mij meer de schuld van de systeembeheerder die een te makkelijk password kiest / mysql op de standaard poort draait. Je kan natuurlijk alles wat remote te beheren valt misbruiken als er slechte beveiliging gebruikt wordt en er geen controle is op wie wat probeerdt.
Is het gebruik van de standaard port zo'n enorme tegenslag/security hole?
Ik weet dat dit vaker wordt gebruikt, maar tis meer een first line of defence. Als je een snelle portscanner maakt die op iedere port die het vind controleerd wat de reactie is van de server dan weet je al voldoende of er MySQL achter steekt.

Doe maar eens telnet localhost 3306 en je hebt gelijk een MySQL string die je kan parsen en naar kan connecten.

Ik zeg: "Security through obscurity"!
Er zijn wel meer wegen die naar Rome leiden. Als het zo onhandig geprogrammeerd is kan je zelf ook meehelpen aan het beter programmeren van de code.

Dat heet Open Source ;)

edit:
edit: jurien was me voor

Tja omlaag modden kan natuurlijk ook.

Wat ik dus probeer duidelijk te maken, dat je als je een bug vind of iets dat beter kan, je zelf ook kunt meehelpen aan de ontwikkeling (hetzij door het rapporteren, hetzij door een patch te maken die het beter doet) van het programma.
De worm kan vrij eenvoudig gestopt worden door geen verbindingen met poort 3306 toe te staan.
Dan werkt MySQL ook niet meer, heb je dus niets aan. }:O
Je kunt de poort intern altijd open laten staan... Er wordt natuurlijk gedoeld op het extern afsluiten van de poort.

En onder Unices kan je overgens MySql zonder TCP-IP sockets draaien, maar gebruik maken van een Unix-socket (een soort speciale file)
yep wat heb ik lopen vloeken zeg. Debian gebruikt standaard alleen maar de socket optie. En dat werkt niet over een LAN heen.
Overigens het toont wel weer aan dat security begint bij de gebruiker. Ik denk dat 90% van alle incidenten te maken hebben met het niet installeren van patches en wachtwoorden die te makkelijk zijn.
heb zelf een mysql server draaien (versie MySQL 4.0.16-nt)
en ik wil ze wel eens uitdagen ommijn server op te komen... als het goed is komen ze er niet op i.v.m. met mijn gehackte alcatel speedtouch waarvan de mysql poort niet open staat..
ze lopen als het gpoed is dus gewoon tegen een dichte deur aan :)
en anders.. suc6 met raden van root wachtwoord :P
Misschien heb je een andere mogelijke sploit geportmapped, zodat dit alsnog op je MySQL los gelaten kan worden.
Ok ... een goed root-password maakt het erg lastig.
ik denk DUH.
mijn firewall laat alleen DIE machines toe op de MySQL port die er ook werkelijk wat te zoeken hebben.
en dat zijn er niet veel.
vervolgens mag die machine niet als root inloggen, dus weer een risico minder en ga zo maar door.
Zoiets werkt toch niet hoop ik als je achter een router zit waarbij poort 3306 niet gemappt is?
Op Google is te vinden (zie vooral GoT / Networktroubles) hoe je routertje werkt. Althans hoe de NAT werkt die in in veel huis-tuin-keuken routertjes zitten.

Ow en als sysadmin, zijn de termen "be afraid" en "paranoia" meestal wel sleutelwoorden voor perfecte beveiliging. Hieruit vloeit meestal voort de kennisvergaring. in dit geval kan je hierna dus de conclusies trekken over deze kwestie en dat is: "of je safe zit of niet" :+
doooh ik kan niet lezen :(

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*