Nieuws
image

MySQL worm infecteert Windows servers

donderdag 27 januari 2005, 18:25 door Redactie, 14 reacties

Sans.org schrijft over een nieuwe MySQL worm, die zich richt op MySQL servers draaiend onder Windows. De worm gebruikt een bruteforce aanval om root toegang op de MySQL server te krijgen en gebruikt dan de "MySQL UDF Dynamic Library Exploit" om lokaal een DLL bestand te kunnen schrijven en de worm te starten. Vervolgens connect de worm naar een aantal IRC servers en kan dan via deze servers nieuwe instructies krijgen. Volgens de laatste update van SANS zijn inmiddels een paar duizend servers overgenomen. Systeembeheerders met MySQL onder Windows wordt dringend aangeraden geen makkelijk MySQL root password te kiezen, TCP poort 3306 te filteren en/of root toegang te beperken tot vertrouwde hosts.

update 19:50: typo in portnummer gefixed

Reacties (14)
27-01-2005, 19:00 door Anoniem
Hoi,

het gaat om poort 3306. Mijn vermoeden is dat het een worm van
nederlands makelij is, hij connect naar IRC en gaat naar
#rampenstampen. Als je op google zoekt naar dat woord zie je dat het
typisch nederlands is.
27-01-2005, 19:21 door Anoniem
The bot will connect to a channel called '#rampenstampen' using the
key 'gratisporn'.

altijd die nederlands skids weer.
27-01-2005, 20:14 door spatieman
dat ze dan ook met een site komen, dan kan die in de
firewall geblokt worden.
/Maar is het raadzaam om poort 3306 te blokken voor verkeer
voor buitenaf ?
27-01-2005, 21:09 door Anoniem
Door spatieman
dat ze dan ook met een site komen, dan kan die in de
firewall geblokt worden.

lees 't stukje, ze hebben eigen irc servers, dunkt me.
27-01-2005, 23:01 door Anoniem
Door spatieman
/Maar is het raadzaam om poort 3306 te blokken voor verkeer
voor buitenaf ?

Als er geen clients zijn die op iets anders dan localhost
connecten wel.
28-01-2005, 09:15 door Anoniem
Door Anoniem
Door spatieman
dat ze dan ook met een site komen, dan kan die in de
firewall geblokt worden.

lees 't stukje, ze hebben eigen irc servers, dunkt me.


'hadden' :)
28-01-2005, 09:30 door Anoniem
dan zijn het wel behoorlijke domme kiddo's :D
28-01-2005, 10:02 door Anoniem
Ach, dan installeer je het toch op een linux-server?
28-01-2005, 11:16 door Walter
Door spatieman
/Maar is het raadzaam om poort 3306 te blokken voor verkeer
voor buitenaf ?
Dat altijd, en als er andere systemen moeten connnecten op
de MySQL database, sta je alleen die machines toe (gewoon op
IP basis, een beetje firewall moet dat wel kunnen.)
28-01-2005, 12:19 door rob
"Systeembeheerders met MySQL onder Windows wordt dringend
aangeraden geen makkelijk MySQL root password te kiezen, TCP
poort 3306 te filteren en/of root toegang te beperken tot
vertrouwde hosts."

En natuurlijk systeembeheerders overal wordt dat aangeraden,
ook op linux.
28-01-2005, 12:22 door Anoniem
ach daar was het wachten op,
een autohacker voor die exploit.

maja nu gaan ze weer patchen,
werdt tijd :)
28-01-2005, 12:46 door Anoniem
Je moet je gewoon laten hacken.. krijg je gratis warez op je bak geupload
en je helpt ook nog eens mee verspreiden zodat iedereen er zo snel
mogelijk van kan genieten.. gewoon laten gaan dus systeembeheerdertjes!
31-01-2005, 05:29 door Anoniem
ik heb de worm ook in mijn server gehad!!! ik kreeg een .dll bestandje
genaamd '' test2.dll'' en een map die ik niet kon verwijderen... dan zei hij ''
de map kon niet worden verwijderd omdat hij niet leeg is'' ik kwam er niet
meer uit en heb toen snel een backup gemaakt van mijn server en de
schijf geformateerd! hij draait nu weer normaal!

eric
31-01-2005, 08:25 door Anoniem
Door Anoniem
ik heb de worm ook in mijn server gehad!!! ik kreeg een .dll
bestandje
genaamd '' test2.dll'' en een map die ik niet kon
verwijderen... dan zei hij ''
de map kon niet worden verwijderd omdat hij niet leeg is''
ik kwam er niet
meer uit en heb toen snel een backup gemaakt van mijn server
en de
schijf geformateerd! hij draait nu weer normaal!

eric
Had je niet in safe-mode kunnen proberen e.e.a. te verwijderen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure