Een groep criminelen infecteert wereldwijd MySQL-servers met malware om ze vervolgens DDoS-aanvallen uit te laten voeren en een aanzienlijk deel van de gecompromitteerde servers staat in Nederland. Dat meldt het Amerikaanse beveiligingsbedrijf Symantec in een blogposting.

Om de servers te kapen gebruiken de aanvallers een "user-defined function" (UDF). Het gaat in dit geval om code die van binnen MySQL kan worden aangeroepen om functies aan te bieden die het databasemanagementsysteem niet kan aanbieden. Het gebruik hiervan om toegang tot MySQL-servers te krijgen is niet nieuw en werd al in 2005 besproken. In dit geval gebruiken de aanvallers een UDF om de Chikdos-malware op de server te installeren. Deze malware kwam eind 2013 al in het nieuws.

Bij de nieuwste campagne gebruiken de aanvallers volgens Symantec waarschijnlijk een geautomatiseerde scanner of een worm om de MySQL-servers te compromitteren en een UDF te installeren. De exacte infectiemethode is echter nog niet geïdentificeerd. Zodra de servers zijn besmet downloaden ze een DDoS-tool voor het uitvoeren van DDoS-aanvallen op websites. Hoeveel MySQL-servers zijn gehackt laat Symantec niet weten, maar met 9% is Nederland na India en China het zwaarst getroffen.

Om dit soort aanvallen te voorkomen krijgen beheerders het advies om de SQL-server niet met beheerdersrechten te laten draaien. Ook moet de SQL-server regelmatig worden gepatcht en moet door veilig programmeren SQL Injection worden voorkomen. Verder kunnen beheerders op de aanwezigheid van nieuwe gebruikersaccounts controleren en zorgen dat beheer op afstand veilig is geconfigureerd.