Massenattacke auf MySQL-Server

7. Februar 2005, 12:58
8 Postings

Bereits 8.500 Systeme geknackt – Schwache Passwörter als Angriffsfläche – Nur Windows-Server betroffen

Vor einer groß angelegten Attacke auf Windows-Installationen von MySQL warnt derzeit das SANS Internet Storm Center (ISC). Ein im Internet kursierender Bot versucht entsprechende Server anzugreifen und zu übernehmen, dabei scheint er auch einigermaßen erfolgreich zu sein, bereits mehr als 8.500 Server sollen solcherart übernommen worden zu sein.

Ablauf

Der Bot geht dabei in zwei Stufen vor: Zuerst muss er Zugriff auf die Datenbank erlangen, dies erreicht er indem er eine Brute Force-Attacke gegen den MySQL-Server vornimmt, um das Passwort von dessen Root-Account zu knacken. Einmal eingedrungen nutzt er den vor wenigen Wochen aufgetauchten MySQL UDF Dynamic Library-Exploit, um einen zuvor in eine Tabelle geschriebenen Code auszuführen. Nachdem er sich auf dem Server breit gemacht hat, kontaktiert er diverse IRC-Server um weitere Instruktionen zu erhalten, gleichzeitig wird das System mittels eines eingebauten FTP-Servers und anderer Backdoors nach aussen geöffnet.

Maßnahmen

Da der Bot keine Sicherheitslücke benutzt, sondern statt dessen auf schwach geschützte Root-Accounts der Datenbank abzielt, empfiehlt das ISC ServerbetreiberInnen mehrere Vorsichtsmaßnahmen. So sollte der Root-Account im besten Fall nur auf lokalen Zugriff beschränkt werden, auch sollte die Firewall im besten Fall den Zugriff auf den MySQL von außen vollkommen blocken, oder wenn dies benötigt wird nur für einzelne IPs freischalten. Besondere Bedeutung kommt im konkreten Fall natürlich der Qualität des Passwortes zu, ist dieses ausreichend lang und schwer erratbar, verläuft die Brute Force-Attacke im Sand. (red)

  • Bild nicht mehr verfügbar
Share if you care.