为何在同一个地方摔倒多次--MySQL数据库遭勒索

为何在同一个地方摔倒多次--MySQL数据库遭勒索

继2017年1月MongoDB、ElasticSearch等被入侵攻击后，MySQL数据库也成为了新的攻击目标。2月12日凌晨00:15起，攻击者通过使用root用户名暴力破解暴露在公网的MySQL服务器。攻击者新建表或删除数据库并勒索用户以比特币的方式支付“赎金”。

GuardiCore的研究负责人Ofri Ziv表示，攻击已在全球范围内散布，似乎不是针对特定的数据库。他未提供受感染数据库的具体预估数量，但他表示，“我们知道数千个暴露在网上的弱密码MySQL数据容易遭受攻击”。

中国境内能够搜索到的对公网开放的MySQL服务，如图：

在中国有228462多个MySQL数据库是对公网开放的，实际情况可能会更多，都存在被黑客暴力破解和入侵的风险。

勒索信息

攻击者在入侵MySQL数据库后留下了勒索信息，现在已知有两条不同的勒索信息。

[INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)]

攻击者在勒索信息中留下了比特币地址、电子邮箱，并声称“将0.2比特币打到提供的比特币地址，并通过邮件发送你的IP或服务器DB名称来恢复数据库！你的DB已经备份到了我们的服务器！”。

另一条勒索信息为：

SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://torproject.org/projects/torbrowser.html.en.

“将0.2比特币打到比特币地址‘1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9’，并访问网站http://sognd75g4isasu2v.onion/来恢复数据库！SQL备份将在付款后可用！访问此网站请使用Tor浏览器。”

被攻击原因

有媒体称已经有上千台MySQL数据库被入侵攻击，究其原因，MySQL被攻击暴露出以下两个问题：

可以通过公网访问MySQL服务器MySQL数据库没有进行鉴权或使用了简易密码

UCloud技术保障

默认只允许内网访问

UCloud云数据库UDB MySQL、MongoDB、Postgre SQL、分布式MySQL等为了用户的数据安全，默认没有提供公网IP，攻击者无法通过公网直接入侵UCloud云数据库。用户可以通过申请的云主机访问UDB，并且每个用户只允许访问该帐户下的内网IP。

关于UCloud账户网络隔离的信息详见（http://mp.weixin.qq.com/s/GFGXj-vrDqzrj4wJpgSA）。

强制鉴权

UCloud用户在创建数据库时要求输入密码，界面会提示输入强复杂度密码。

不要使用纯数字、常见单词拼写、键盘上位置相邻的字符

建议数字、大小写字母、特殊字符等相互穿插密码

易记又安全的密码示例：birthDAY+-0230, pinYIN101;,zhongGuoren:_,2013XinNian#*

密码中不能包含空格 " ' & | / \ < > . () {} [] ! 等特殊字符

只有按上面的约定输入密码，方可完成创建数据库，复杂的密码将会降低暴力破解的可能性。

数据库审计

针对UCloud UDB的各种操作进行详细的、完整的记录，并以报表的形式呈献给客户。数据库审计可用于提供符合法律法规的报告，满足等级保护、企业内控等审计要求。全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源。为数据库安全管理与性能优化提供决策依据。

完善的备份机制

UDB默认每天自动定时备份，并且以分布式多副本的方式保存备份文件，保证数据库在误删除、误操作的情况下，可以恢复数据库。

建议和总结

在使用MySQL数据库时可以参考以下的CheckList：

数据库服务器不直接暴露在公网为每个账户配置允许访问数据库的来源IP修改默认的3306端口强制使用密码鉴权，并设置强复杂度密码定期修改数据库密码

UCloud云数据库UDB提供基于成熟云计算技术的高可用、高性能的数据库服务，除支持双主热备架构及高性能SSD磁盘外，提供灾备、备份、数据回档、监控、数据库审计等全套解决方案。

运维帮「运维大咖CLUB」招募会员：如果你是甲方运维总监/运维经理，欢迎加入我们，请联系微信yunweibang555