Wurm infiziert MySQL auf Windows

Nach Angaben von Johannes Ullrich, Chief Technology Officer beim Storm Center des Security-Dienstleisters SANS Institute, sind bereits mindestens 8000 MySQL-Systeme infiziert. Forbot verbreitet sich den Experten zufolge über den Port 3306 und versucht zunächst über einen simplen "Dictionary"-Angriff schwache Administratorenpasswörter zu knacken.

Dabei probiert dieser laut Ullrich Wörter aus einer eine Liste mit rund 1000 Einträgen durch. Nach dem Zugriff mit Root-Rechten auf betroffene Systeme nutzt der Schädling den seit Dezember bekannten "MySQL UDF Dynamic Library Exploit". Zunächst legt Forbot eine Tabelle namens "bla" an, in die Schadroutinen kopiert werden. Anschließend wird die Bibliothek über den Befehl "select * from bla into dumpfile "app_result.dll"" auf die Festplatte geschrieben und die Tabelle gelöscht. "App_result.dll" wir im Anschluss über die nutzerdefinierte Funktion "app_result", gestartet. Das erzeugt eine neue Instanz des Wurms mit der Bezeichnung "Spoolcll.exe". Einmal aktiv, versucht Forbot über die Ports 5002 und 5003 Kontakt zu diversen IRC-Servern aufzunehmen.

Der Wurm verbreite sich nicht aufgrund einer Sicherheitslücke in MySQL, sagen die Spezialisten des Storm Center. Er nutze vielmehr eine generell verbreitete Unsitte, Administratorenzugänge mit zu schwachen Passwörtern zu schützen.

Als Gegenmaßnahmen empfehlen die Experten, ein starkes Kennwort zu wählen, den Root-Account auf wenige Hosts (möglichst auf den lokalen Host) zu begrenzen, die SSL-Funktionen (Secure Sockets Layer) von MySQL zu nutzen und die Firewall-Einstellungen zu optimieren. Demzufolge sollte der Port 3306 gesperrt und nur für die vorher definierten Hosts freigegeben werden. (Alexander Hüls/uba)

Komplexes Know-how zu Linux, Apache, MySQL und PHP bietet das tecCHANNEL-Compact "LAMP", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.