Das SANS Internet Storm Center (ISC) warnt vor einem neuen „Bot“, der sich \u00fcber MySQL verbreitet. Der Wurm sucht auf dem MySQL-Port 3306 nach Opfern, die, einmal infiziert, \u00fcber einen IRC-Server mit weiteren Instruktionen versorgt werden.<\/p>\n

Der Wurm bef\u00e4llt nur Windows-Systeme und verbindet sich anschlie\u00dfend mit einem IRC-Server, sucht aber zudem im Netz auch nach weiteren potenziellen Opfern. Dabei nutzt der Wurm den „MySQL UDF Dynamic Library Exploit“, hei\u00dft es seitens des SANS ISC.<\/p>\n

Um dabei aber zum Erfolg zu kommen, muss sich der Wurm als Nutzer „root“ bei MySQL anmelden. Dazu ist er mit einer Liste von Passw\u00f6rtern ausgestattet, die er einfach ausprobiert, um so Zugang zum Server zu erhalten. Anschlie\u00dfend legt er eine Tabelle „bla“ in der Datenbank „mysql“ an, die bei MySQL standardm\u00e4\u00dfig vorhanden ist. Die Tabelle f\u00fcllt er mit einem BLOB-Feld namens „line“.<\/p>\n

Anschlie\u00dfend schreibt sich der Wurm in die Datenbank, l\u00e4sst sich dann als Datei namens „app_result.dll“ ausgeben und l\u00f6scht die Tabelle wieder. Er legt zudem eine MySQL-Funktion namens „app_result“ an, die dann die zuvor gespeicherte „app_result.dll“ verwendet, hei\u00dft es in der SANS-Beschreibung. Letztendlich f\u00fchrt sich der Wurm selbst aus.<\/p>\n

Eine wirkliche Schwachstelle in MySQL wird dabei nicht ausgenutzt, vielmehr zielt der Wurm auf schwache Root-Passw\u00f6rter in MySQL ab. Daher sollte zum einen ein entsprechend sicheres Passwort verwendet werden, zudem ist es ratsam, nur lokale Zugriffe auf den Root-Account zuzulassen.<\/p>\n