Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MySQL-worm 'MySpooler' valt servers aan

Sinds gisteren dwaalt er een worm over het internet, die MySQL-servers op Windows-systemen probeert te misbruiken, zo meldt The Register. De worm genaamd 'MySpooler' is opzoek naar Windows machines die MySQL 4.0.21 of later draaien op poort 3306 en probeert vervolgens aan de hand van een lange lijst met wachtwoorden het root-wachtwoord te vinden. Als de worm dit wachtwoord gevonden heeft, maakt hij een tabel aan met daarin een executable. Dit bestand wordt vervolgens via de database op de harde schijf opgeslagen waarna de tabel weer verwijderd wordt. Middels de MySQL UDF Dynamic Library-lek wordt met een eigen MySQL-functie de executable als root gestart, waarna deze bot het lokale netwerk afzoekt naar nieuwe slachtoffers. Zodra de worm binnen is, maakt deze ook contact met een Zweedse IRC-server, in afwachting van nieuwe instructies.

MySQL logo nieuwe stijlIn de eerste paar uur infecteerde de worm ongeveer 110 systemen per minuut. De kans is erg groot dat de bot gebruikt wordt om een DDoS-aanval (distributed denial of service) uit te voeren of om er alleen mee te dreigen om zo bedrijven geld afhandig te maken. Al vrij snel waren er genoeg systemen besmet om bijvoorbeeld de website van Microsoft plat te krijgen. De worm kan vrij eenvoudig gestopt worden door geen verbindingen met poort 3306 toe te staan, door een ingewikkeld root-wachtwoord in te stellen, of door het root-account alleen toegankelijk te maken voor mensen die lokaal zijn ingelogd.

Door

63 Linkedin Google+

Bron: The Register

Reacties (63)

Wijzig sortering
Wat ik me afvraag.. (wel naar aanleiding van het bericht, maar toch vrij algemeen)

Waarom is er niet zoiets als dat er 5 foute wachtwoord tries zijn dat je dan een minuut lang niet andere wachtwoorden kunt proberen. Of alarmslaan als er enorm veel tries zijn?

Of bestaat zoiets al. (ik ben ook maar een student bedrijfswetenschappen dus een beetje digibeet)

Edit: Hieronder wordt gezegd dat je natuurlijk wel een fatsoenlijk wachtwoord moet hebben. En dat is natuurlijk ook gewoon zo!
Iemand die MySQL draait is geen huis-tuin-en-keuken computergebruiker, als je je wel in databases verdiept maar dan zo laks met veiligheid omgaat verdien je het ook om afgestraft te worden, valt mee dat het niet alle databases behalve mysql dropt
Daar zal het de makers niet om te doen zijn dus. Als ze zoiets doen dan gaat iedereen wel zorgen dat de zaakjes de volgende keer op orde zijn. Als iemand anders het slachtoffer wordt van jou laksheid dan zullen die MYSQL gebruikers het niet zo 'erg' vinden waarschijnlijk.
De worm genaamd 'MySpooler' is opzoek naar Windows machines die MySQL 4.0.21 of later draaien op poort 3306 en probeert vervolgens aan de hand van een lange lijst met wachtwoorden het root-wachtwoord te vinden.
Er is blijkbaar helemaal geen lek. Het probleem is dat de slachtoffers zwakke (makkelijk te gokken, of komen in het woordenboek voor etc..) passwords hebben.
Als je een sterk password hebt ('pW0okOO' of zoiets vaags), heb je niets te vrezen.
Wat ik dan niet snap is dat het alleen bij Windows systemen is, dit moet dan toch ook gewoon werken op een linux bak? Wat ik eruit opmaak is dat ze gewoon via het webformpje wat wachtwoorden testen en dan tot het werkt, moet niet uitmaken of je mysql database nou op een windows of linux bak zit (of maken ze daar gebruik van een andere poort :P) :S

Hmm.. ze zullen wel eerst checken of het een Windows bak is aangezien ze, de gehackte pc's gebruiken om MS te dossen en in een kwaad daglicht op die manier.
Kortom het gaat hier om mensen die MySQL op de 'next, next, next, next, next, next, finish'-manier installeren.
Dan kom je toch weer bij het feit dat veiligheid ook grotendeels van gebruikers afhangt :). Der zit geen fout in de software in dit geval (misschien dat het onneindig kunnen proberen inloggen is veranderd moet worden ofzo). Ik laat gebruikers via een website echt niet inloggen via een administrator account op men windows bak :P.
Oftwel: Software is zo veilig als de zwakste schakel, in de meeste gevallen de gebruiker.
Je vergeet dat je:
1. Op linux niet je MySQL server als root hebt draaien.
2. Je geen toegang hebt tot de hele schijf als niet-root
3. Eigenlijk een beetje dom bent als je root toegang verschaft van anders dan het lokale netwerk (of localhost)

Kortom het gaat hier om mensen die MySQL op de 'next, next, next, next, next, next, finish'-manier installeren.
Er werd iets gezegd over een executable, dit zal wel een windows executable zijn, dit niet zomaar op linux c.q. andere platformen werkt ;-)
Middels de MySQL UDF Dynamic Library-lek wordt met een eigen MySQL-functie de executable als root gestart, waarna deze bot het lokale netwerk afzoekt naar nieuwe slachtoffers.
Dit is dus het beoogde lek, dat wordt als tweede fase gebruikt. Dus als het root password gevonden is. Die stap is niet mogelijk als dat lek er niet was geweest.
Waarom het alleen windows machines pakt heeft waarschijnlijk te maken omdat de executable voor windows is geprogrammeerd en de programmeur van het virus is zeker te lui geweest om ook eentje voor linux te proggen... ;)
Voel me toch vrij lullig als een server vandaag hierdoor plat is gegaan :X
Opeens kon Apache geen verbinding meer maken met de Mysql via PHP. Kreeg telkens no connection bla bla bla en de service wou niet meer opstarten.
Heb het wachtwoord veranderd in de my.ini en nog wat andere dingen en toen deed ie het weer :?
Oh ja, die bak draaide al bijna 2 jaar zonder problemen...
"...verdien je het ook om afgestraft te worden"

Alleen jammer dat degene die ge-DDOSed wordt er waarschijnlijk meer last van heeft dan de gestrafte.
"...verdien je het ook om afgestraft te worden"

sorry hoor, niets persoonlijk maar ik vind dat zo'n ontzettende bullshit. Als je je dakraam open laat staan en je huis wordt leeg gejat, dan is het volgens de wet en de verzekeraar ook je eigen schuld.
Of een camera in je auto laten liggen, eigenschuld dikke bult zeggen ze dan. Onzin, ze moeten van je spullen afblijven.

echt Bullshit, degene die het jat is schuldig PUNT.
degene die de exploit gebruikt is schuld PUNT.

je bent natuurlijk niet erg handig bezig en als je je systeem niet dichttimmert of tenminste behoorlijke wachtwoorden kiest.

Maar om nou te zeggen dat je het verdient, no way.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*