W sieci pojawił się robak/bot, znany jako "UDF Worm", który atakuje instalacje MySQL na systemach Windows. Aktywność robaka można obserwować na porcie 3306/TCP.
Robak włamuje się do serwera MySQL wykorzystując słabe bądź puste hasło użytkownika "root". Po wejściu na system robak wykorzystuje funkcjonalność UDF (User Defined Function) bazy MySQL, do zdefiniowania własnej funkcji i ściągnięcia wariantu robaka "Wootbot". Wootbot sterowany jest za pomocą serwerów IRC i oferuje standardową "funkcjonalość" spotykaną obecnie w botach. Wykrywany jest przez niektóre oprogramowanie antywirusowe.
Robak próbuje atakować systemy, poprzez skanowanie MySQL na porcie 3306/TCP. Aby sprawdzić, czy komputer jest zainfekowany, należy wydać polecenie: "SELECT * FROM mysql.func;". Jeżeli w odpowiedzi znajdzie się UDF o nazwie "app_result", to nastąpiła udana infekcja systemu. Robaka usunąć można wykonując polecenie "DROP FUNCTION app_result;". Należy pamiętać, że nazwa funkcji UDF może ulec zmianie, kiedy w sieci pojawią się nowe odmiany robaka.
Aby zabezpieczyć się przed podobnym atakiem, należy filtrować ruch przychodzący na port 3306/TCP, stosować trudne do odgadnięcia hasła i ograniczyć możliwość zdalnego logowania się jako root w bazie.
Więcej informacji na stronach MySQL.
Źródło informacji: CERT Polska
Nowy robak atakuje instalacje MySQL
Wirusy komputerowe |
Pt, 28 Sty 2005 15:12:06 +0100 |
Autor:
Redakcja
| Czytań: 5139
Pozostałe wiadomości w kategorii Wirusy komputerowe (326)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.