Open Source im professionellen Einsatz

Hacker infizieren weltweit MySQL-Server

30.10.2015

Wie Sicherheitsexperten von Symantec herausgefunden haben, infizierten Hacker weltweit MySQL-Server mit einem Trojaner, der DDOS-Attacken ausführt. Dabei verwendeten sie eine neuartige Methode.

182

Wie die Experten von Symantec in diesem Blogpost  erläutern, sind vor allem Datenbankserver in Indien (25 Prozent), China (15 Prozent) und Brasilien (9 Prozent) betroffen. In Europa konzentrieren dich die Angriffe auf die Niederlande (9 Prozent) und Italien (4 Prozent).

Die Schadsoftware, der Trojaner Chikdos.A, ist nicht neu, sondern tauchte bereits 2013 auf. Neu ist aber der Infektionsweg. Die Angreifer nutzen diesmal ein Feature von MySQL aus, das es erlaubt die Datenbank mit kompilierten Erweiterungen, so genannten User Defined Functions (UDF), zu erweitern. Über eine SQL Injection schmuggeln die Hacker den Schadcode als UDF in die Datenbank und speichern den Code dann mittels des DUMP-Kommandos als Bibliothek ab, die der MySQL-Prozess später verwendet. Varianten so infizierter DLLs finden sich in /lib, /lib/plugin oder /bin. Unter Windows verändern die Angreife außerdem etliche Keys in der Registry.

Die Security-Experten von Symantec glauben, dass sich die Hacker deswegen MySQL-Server als Ziel ausgesucht haben, weil die oft über eine große Bandbreite verfügen, die dann den DDoS-Angriffen des Trojaners zur Verfügung steht. Außerdem bietet MySQL als überaus beliebtes Datenbanksystem viele potenzielle Angriffsziele.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.