Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

MySQL-worm 'MySpooler' valt servers aan

Sinds gisteren dwaalt er een worm over het internet, die MySQL-servers op Windows-systemen probeert te misbruiken, zo meldt The Register. De worm genaamd 'MySpooler' is opzoek naar Windows machines die MySQL 4.0.21 of later draaien op poort 3306 en probeert vervolgens aan de hand van een lange lijst met wachtwoorden het root-wachtwoord te vinden. Als de worm dit wachtwoord gevonden heeft, maakt hij een tabel aan met daarin een executable. Dit bestand wordt vervolgens via de database op de harde schijf opgeslagen waarna de tabel weer verwijderd wordt. Middels de MySQL UDF Dynamic Library-lek wordt met een eigen MySQL-functie de executable als root gestart, waarna deze bot het lokale netwerk afzoekt naar nieuwe slachtoffers. Zodra de worm binnen is, maakt deze ook contact met een Zweedse IRC-server, in afwachting van nieuwe instructies.

MySQL logo nieuwe stijlIn de eerste paar uur infecteerde de worm ongeveer 110 systemen per minuut. De kans is erg groot dat de bot gebruikt wordt om een DDoS-aanval (distributed denial of service) uit te voeren of om er alleen mee te dreigen om zo bedrijven geld afhandig te maken. Al vrij snel waren er genoeg systemen besmet om bijvoorbeeld de website van Microsoft plat te krijgen. De worm kan vrij eenvoudig gestopt worden door geen verbindingen met poort 3306 toe te staan, door een ingewikkeld root-wachtwoord in te stellen, of door het root-account alleen toegankelijk te maken voor mensen die lokaal zijn ingelogd.

Door

63 Linkedin Google+

Bron: The Register

Reacties (63)

Wijzig sortering
Meestal wordt er per aanvraag een nieuwe verbinding opgebouwd (en dus ingelogd). Dat zou dus betekenen dat wanneer er een fout wachtwoord staat ingesteld en 10 mensen vragen die pagina op dan is het al raak. En nee dat is niet 'per klant' in te stellen. De MySQL server kijkt slechts of de login als zodanig klopt. Bij een shared hosting draaien er vaak meerdere sites op 1 IP adres en het nu techniek met IPv4 niet mogelijk om onderscheid te maken tussen bijvoorbeeld verschillende vhosts. Met IPv6 gaat dit wel lukken en dan is het mogelijk om bijvoorbeeld per vhost een apart IP voor de MySQL server te reserveren, dan kan er dus wel controle worden gedaan van na 10 keer fout wachtwoord > block.
Dit is op Linux zelfs makkelijker te doen dan op een Windows machine. Je stopt gewoon de sourcecode in het virus en compileert het op het geinfecteerde systeem. Het maakt dan niets uit of het geinfecteerde systeem een PC, Mac, Playstation, UltraSPARC of wat dan ook is..
Ik moet je helaas tereur stellen, zo eenvoudig werkt het allemaal niet. Met welke instructies [1] ga je namelijk de compiler starten grapjas? :P

Bovendien zal je niet vaak een compiler aantreffen op een productie/server systeem. Redhat/SUSE/etc. installeren deze ook standaard niet.


( [1]: als hint: die virus instructies om de compiler te starten zijn platform-specifiek natuurlijk! )
MySQL als root draaien hoef je op een Windows machine ook niet te doen. Standaard draait hij als "SYSTEM", die mag lokaal alles maar op het netwerk niks.

Je kunt een MySQL user account maken, met een random password, deze alleen toegang tot de database directories geven en geen log-in rechten, en de MySQL service onder dit account draaien.
Raar dat het bij veel mensen mogelijk is om via het internet met root in te loggen op de mysql server.
Naar mijn weten zijn de standaard instellingen zo dat je alleen via localhost als root in kan loggen.
Als het dus enkel om n00bs zou gaan die hier het slachtoffer van worden lijkt me dit een beetje sterk. Ik neem niet aan dat, wanneer hun met geluk de server fatsoenlijk hebben draaien, ook nog eens de settings aan gaan passen zodat de database via het internet te benaderen is, laat staan met het root account.
Lijkt me dat je 3306 niet open zet op je firewall, waarom zou je dat doen? Kun je toch beter een veilige VPN naar je netwerk leggen, en dan kun je toch doen wat je wil... :Z
Precies, wat dan nog?
Heeft iemand het gevonden ... fancy. De dude die ook even op het IRC kanaaltje connect kan dan direct zelf ook nog de commando's bekijken, af tasten, er van leren en misschien zelf besturen.

De dader zal vast niet zo stop zijn en zal vast een proxy server hebben betaald voor een beetje anonimiteit. ;)
De dader zal vast niet zo stop zijn en zal vast een proxy server hebben betaald voor een beetje anonimiteit.
Betalen voor een anonieme proxy en die dan gebruiken voor criminele activiteiten?
Dan ben je echt niet lang anoniem hoor.
Waarschijnlijk wordt gewoon een 'gratis' proxy op een compromised host gebruikt.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*