Tusentals Windows-servrar med Mysql installerat har enligt säkerhetsexperter redan blivit smittade av den nya Forbot-masken. Den senaste Forbot-masken är om inte den första en av de första maskarna vilken automatiskt sprider sig på Internet genom att angripa dåligt säkrade Mysql-servrar.
Masken infekterar servrar genom att via port 3306 utföra en så kallad ordlisteattack mot Mysql-serverns administratörskonto. Masken kan endast klara av väldig enkla lösenord i och med att ordlistan dessa väljs från omfattar cirka 1 000 olika lösenord.
När masken väl har lyckats ta kontroll över Mysql utnyttjas en känd säkerhetslucka, som går under namnet MySQL UDF Dynamic Library Exploit, för att hämta och installera skadlig kod på systemet. Den skadliga koden, som sprider masken vidare, är en fil vid namn spoolcll.exe.
Servrar som smittats av Forbot-varianten försöker därefter ansluta till en kanal på en IRC-server, som enligt uppgift ligger i Sverige. Under gårdagen ska det ha funnits mer än 8 000 smittade servrar anslutna till kanalen men enligt Johannes Ullrich på SANS Institutes Internet Storm Center (ISC) kan det röra sig om många fler servrar som har smittats i och med att IRC-servern inte kunde hantera fler anslutningar.
Risken att smittas av Forbot-masken är inte speciellt stor såvida inte speciella inställningar har gjorts på servern. För det första måste det vara möjligt att fjärransluta mot servern som administratör och för det andra måste lösenordet vara tillräckligt förutsägbart att det finns med i den begränsade ordlistan masken bär på.
Masken infekterar servrar genom att via port 3306 utföra en så kallad ordlisteattack mot Mysql-serverns administratörskonto. Masken kan endast klara av väldig enkla lösenord i och med att ordlistan dessa väljs från omfattar cirka 1 000 olika lösenord.
När masken väl har lyckats ta kontroll över Mysql utnyttjas en känd säkerhetslucka, som går under namnet MySQL UDF Dynamic Library Exploit, för att hämta och installera skadlig kod på systemet. Den skadliga koden, som sprider masken vidare, är en fil vid namn spoolcll.exe.
Servrar som smittats av Forbot-varianten försöker därefter ansluta till en kanal på en IRC-server, som enligt uppgift ligger i Sverige. Under gårdagen ska det ha funnits mer än 8 000 smittade servrar anslutna till kanalen men enligt Johannes Ullrich på SANS Institutes Internet Storm Center (ISC) kan det röra sig om många fler servrar som har smittats i och med att IRC-servern inte kunde hantera fler anslutningar.
Risken att smittas av Forbot-masken är inte speciellt stor såvida inte speciella inställningar har gjorts på servern. För det första måste det vara möjligt att fjärransluta mot servern som administratör och för det andra måste lösenordet vara tillräckligt förutsägbart att det finns med i den begränsade ordlistan masken bär på.
Den här artikeln har null kommentarer:
Molnigt på idg.se?
