MySQL成勒索新目标,数据服务基线安全问题迫在眉睫
據最新報道顯示,繼MongoDB和Elasticsearch之后,MySQL成為下個數據勒索目標,從2月12日凌晨開始,已有成百上千個開放在公網的MySQL數據庫被劫持,刪除了數據庫中的存儲數據,攻擊者留下勒索信息,要求支付比特幣以贖回數據。
問題分析
遍觀MongoDB和Elasticsearch以及現在的MySQL數據庫勒索,可以發現都是基線安全問題導致被黑客劫持數據而勒索,原因在于這些服務都開放在公網上,并且存在空密碼或者弱口令等使得攻擊者可以輕易暴力破解成功,直接連上數據庫從而下載并清空數據,特別是不正確的安全組配置導致問題被放大。
其實類似問題已不是第一次,近期云鼎實驗室觀測到多起案例,攻擊呈現擴大態勢,不僅僅是勒索,更多的是服務器被入侵,從而導致數據被下載。基線安全問題已經成了Web漏洞之外入侵服務器的主要途徑,特別是弱口令等情況。錯誤的配置可以導致相關服務暴露在公網上,成為黑客攻擊的目標,加上采用空密碼等弱口令,黑客可以輕易入侵這些服務。
安全自查
值此事件爆發之際,建議對自己的服務器進行自查,避免相關數據丟失等問題,具體自查方式可參考如下:
1、排查服務器開放的端口及對應的服務,如無必要,關閉外網訪問;可以使用NMap 直接執行 nmap 服務器IP(在服務器外網執行),可得到以下結果即為開放在外網的端口和服務。
2、重點針對這些開放在公網上的服務進行配置的檢查,檢查相關服務是否設置密碼,是否弱口令。
3、如無必要,均不要使用root或者其他系統高權限賬號啟動相關服務。
安全建議及修復方案
一、采用正確的安全組或者iptables等方式實現訪問控制;
二、關閉相關服務外網訪問和修改弱密碼:
1、MongoDB
配置鑒權
下面以3.2版本為例,給出 MongoDB設置權限認證,具體步驟如下:
啟動MongoDB進程是加上-auth參數或在MongoDB的配置文件中加上auth = true;
帶auth啟動的MongoDB,如未創建用戶,MongoDB會允許本地訪問后創建管理員用戶。創建步驟如下:
關閉公網訪問
可通過MongoDB的bind_ip參數進行配置,只需將IP綁定為內網IP即可,如下:
2、Redis
配置鑒權
修改配置文件,增加 “requirepass 密碼” 項配置(配置文件一般在/etc/redis.conf)
在連接上Redis的基礎上,通過命令行配置,config set requirepass yourPassword
關閉公網訪問
配置bind選項,限定可以連接Redis服務器的IP,修改 Redis 的默認端口6379
其他
配置rename-command 配置項 “RENAME_CONFIG”,重名Redis相關命令,這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度(不過也會給開發者帶來不方便)
相關配置完畢后重啟Redis-server服務
3、MySQL
配置鑒權
MySQL安裝默認要求設置密碼,如果是弱命令,可通過以下幾種方式修改密碼:
UPDATE USER語句
//以root登錄MySQL后, USE mysql; UPDATE user SET password=PASSWORD('新密碼') WHERE user='root'; FLUSH PRIVILEGES;SET PASSWORD語句
//以root登錄MySQL后, SET PASSWORD FOR root=PASSWORD('新密碼');mysqladmin命令
mysqladmin -u root -p 舊密碼 新密碼關閉公網訪問
啟動參數或者配置文件中設置bind-address= IP綁定內部IP
以root賬號連接數據庫,排查user表中用戶的host字段值為%或者非localhost的用戶,修改host為localhost或者指定IP或者刪除沒必要用戶
4、其他服務
請參考以上方式或者官方文檔進行配置
參考鏈接
《避免 MongoDB 被勒索詳解,騰訊云上更安全》http://t.cn/RiVUEdY
《下一個獵殺目標:近期大量MySQL數據庫遭勒索攻擊》http://t.cn/Ri5ES1T
《知名搜索引擎Elasticsearch成為勒索軟件敲詐目標》http://t.cn/RiVUgFD
《Redis 未授權訪問配合 SSH key 文件利用分析》http://t.cn/RUO9UGY
本文首發騰云閣 警惕!MySQL成數據勒索新目標
總結
以上是生活随笔為你收集整理的MySQL成勒索新目标,数据服务基线安全问题迫在眉睫的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 饭店名称大全简单大气543个
- 下一篇: Redis-3.2主从复制与集群搭建