數(shù)據(jù)庫遭劫持勒索兩種方式避免數(shù)據(jù)丟失

2024-07-21 02:52:10

字體：大中小

供稿：網(wǎng)友

據(jù)最新報(bào)道顯示，繼MongoDB和Elasticsearch之后，MySQL成為攻擊者的下一個(gè)數(shù)據(jù)勒索目標(biāo)。從2月12日凌晨開始，在短短30個(gè)小時(shí)內(nèi)，就有成百上千個(gè)開放在公網(wǎng)的MySQL數(shù)據(jù)庫遭到劫持，并被刪除了數(shù)據(jù)庫中的存儲(chǔ)數(shù)據(jù)。攻擊者留下勒索信息，要求支付0.2比特幣的贖金(約為235美元)以贖回?cái)?shù)據(jù)。

　　據(jù)悉，在此次勒索攻擊中，攻擊者(可能)利用了一臺被盜的郵件服務(wù)器，所有的攻擊皆來自相同的ip地址，屬于荷蘭的一家網(wǎng)絡(luò)托管服務(wù)提供公司。數(shù)據(jù)庫遭受攻擊的事件已不止一次發(fā)生。近期，騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的云鼎實(shí)驗(yàn)室已監(jiān)測到多起案例，攻擊呈現(xiàn)擴(kuò)大態(tài)勢，不僅僅是勒索，更多的是服務(wù)器被入侵，從而導(dǎo)致數(shù)據(jù)被下載。

　　通過對MongoDB和Elasticsearch以及當(dāng)前的MySQL數(shù)據(jù)庫勒索分析，云鼎實(shí)驗(yàn)室發(fā)現(xiàn)，基線安全問題已經(jīng)成了Web漏洞之外入侵服務(wù)器的主要途徑。事實(shí)上，因?yàn)檫@些服務(wù)都開放在公網(wǎng)上，并且存在空密碼或者弱口令等情況，所以才使得攻擊者可以輕易暴力破解成功，直接連上數(shù)據(jù)庫從而下載并清空數(shù)據(jù)。而不正確的安全組配置也導(dǎo)致數(shù)據(jù)庫遭勒索的問題被放大。

　　當(dāng)前數(shù)據(jù)庫頻遭攻擊，為此云鼎實(shí)驗(yàn)室技術(shù)專家認(rèn)為，相關(guān)廠商應(yīng)對自身服務(wù)器采取自查措施并給出具體自查方式，避免相關(guān)數(shù)據(jù)丟失等問題。技術(shù)專家建議，廠商可排查服務(wù)器開放的端口及對應(yīng)的服務(wù)，如無必要，關(guān)閉外網(wǎng)訪問;也可使用NMap直接執(zhí)行 nmap 服務(wù)器IP(在服務(wù)器外網(wǎng)執(zhí)行)，得到開放在外網(wǎng)的端口和服務(wù)。

　　(開放在外網(wǎng)的端口和服務(wù))

　　同時(shí)，重點(diǎn)針對這些開放在公網(wǎng)上的服務(wù)進(jìn)行配置的檢查，檢查相關(guān)服務(wù)是否設(shè)置密碼，是否為弱口令。如無必要，均不要使用root或者其他系統(tǒng)高權(quán)限賬號啟動(dòng)相關(guān)服務(wù)。

　　針對數(shù)據(jù)庫存在被勒索的風(fēng)險(xiǎn)，云鼎實(shí)驗(yàn)室技術(shù)專家也給出了安全建議和修復(fù)方案：可采用正確的安全組或者iptables等方式實(shí)現(xiàn)訪問控制;關(guān)閉相關(guān)服務(wù)外網(wǎng)訪問和修改弱密碼。

　　具體操作如下：

　　1、MongoDB

　　a)配置鑒權(quán)

　　下面以3.2版本為例，給出 MongoDB設(shè)置權(quán)限認(rèn)證，具體步驟如下：

　　1、啟動(dòng)MongoDB進(jìn)程時(shí)加上-auth參數(shù)或在MongoDB的配置文件中加上auth = true;

　　2、帶auth啟動(dòng)的MongoDB，如未創(chuàng)建用戶，MongoDB會(huì)允許本地訪問后創(chuàng)建管理員用戶。創(chuàng)建步驟如下：

　　1>切換到 admin 庫;

　　2>創(chuàng)建管理員用戶，命令如下(user和pwd可以根據(jù)需要設(shè)置)：

　　db.createUser({user: "root",pwd: "passWord",roles: [ "root" ]})

　　使用管理員用戶登錄后，根據(jù)角色創(chuàng)建您需要的用戶

　　b)關(guān)閉公網(wǎng)訪問

　　可通過MongoDB的bind_ip參數(shù)進(jìn)行配置，只需將IP綁定為內(nèi)網(wǎng)IP即可，如下：