En ny orm begyndte torsdag at gennemtrawle nettet for at finde MySQL-servere med dårlige adgangskoder. Hvis den får adgang, forsøger ormen at inficere systemet med en bagdør.
Ifølge Internet Storm Center var der torsdag mere end 8.500 inficerede systemer forbundet til den chatserver, der styrer netværket af de såkaldte "bots".
Det amerikanske sikkerhedsministerium, Department of Homeland Security, har udsendt en advarsel mod ormen gennem US-Cert.
Fra en inficeret MySQL-server vil ormen scanne et interval af IP-adresser for at finde andre MySQL-servere. Derefter forsøger den at forbinde sig til serveren som administratorkontoen root.
For at få adgang forsøger den sig med en liste af "dårlige" adgangskoder.
Har ormen held til at logge sig på, vil den forsøge at udnytte en nyere sårbarhed i MySQL til at downloade og installere en variant af bagdøren Wootbot.
Bagdøren kobler sig på en IRC-chatserver, hvor den får instruktioner om, hvilke IP-adresser den skal scanne for at finde andre sårbare systemer.
Rammer kun Windows-servere
Indtil videre er der kun rapporteret inficerede systemer af MySQL på Windows-platformen. For at blive inficeret skal der desuden være adgang til MySQL-serveren gennem port 3306.
Det betyder, at en normal streng firewall-opsætning vil spærre for ormen. Derfor vurderer teknisk chef Peter Jelver fra sikkerhedsfirmaet Esec, at det nok ikke bliver en orm, der vil gå over i historien som en af de store.
- Der er heldigvis ikke mange, der har den opsætning, der skal til. Men der er måske folk, som har sat en server op derhjemme. I virksomheder kører MySQL jo typisk på Linux, siger han.
For at øge sikkerheden på MySQL-serveren bør ifølge Internet Storm Center sørge for tre ting.
For det første skal root-adgangskoden være et stærkt kodeord, der ikke kan gættes ved at prøve almindelige ord eller tal og bogstavkombinationer.
Derudover bør man sørge for, at MySQL-serveren er sat op, så root-kontoen kun kan tilgås ved lokal adgang.
Endelig bør firewallen sættes op, så der ikke er fri adgang udefra til serveren. Derfor bør port 3306 blokeres og kun få godkendte maskiner få adgang til serveren den vej.
Relevante links