|
Written by Dylek
|
|
29 Sty 2005, 09:11 |
Jak informuje serwis hacking.pl, w sieci pojawił się robak/bot, znany jako "UDF Worm", który atakuje
instalacje MySQL na systemach Windows. Aktywność robaka można
obserwować na porcie 3306/TCP.
Robak włamuje się do serwera MySQL wykorzystując słabe bądź puste hasło użytkownika "root".
Po wejściu na system robak
wykorzystuje funkcjonalność UDF (User Defined Function) bazy MySQL, do
zdefiniowania własnej funkcji i ściągnięcia wariantu robaka "Wootbot".
Wootbot sterowany jest za pomocą serwerów IRC i oferuje standardową
"funkcjonalość" spotykaną obecnie w botach. Wykrywany jest przez
niektóre oprogramowanie antywirusowe.
Robak próbuje atakować systemy, poprzez skanowanie MySQL na porcie
3306/TCP. Aby sprawdzić, czy komputer jest zainfekowany, należy wydać
polecenie: "SELECT * FROM mysql.func;". Jeżeli w odpowiedzi znajdzie się UDF o nazwie "app_result", to nastąpiła udana infekcja systemu. Robaka usunąć można wykonując polecenie "DROP FUNCTION app_result;". Należy pamiętać, że nazwa funkcji UDF może ulec zmianie, kiedy w sieci pojawią się nowe odmiany robaka.
Aby zabezpieczyć się przed podobnym atakiem, należy filtrować ruch przychodzący na port 3306/TCP, stosować trudne do odgadnięcia hasła i ograniczyć możliwość zdalnego logowania się jako root w bazie.
Więcej informacji na stronach MySQL.
Żródło informacji: serwis hacking.pl
|
Archiwum 
