據(jù)最新報(bào)道顯示，繼MongoDB和Elasticsearch之后，MySQL成為下個(gè)數(shù)據(jù)勒索目標(biāo)，從2月12日凌晨開始，已有成百上千個(gè)開放在公網(wǎng)的MySQL數(shù)據(jù)庫被劫持，刪除了數(shù)據(jù)庫中的存儲(chǔ)數(shù)據(jù)，攻擊者留下勒索信息，要求支付比特幣以贖回?cái)?shù)據(jù)。

問題分析

遍觀MongoDB和Elasticsearch以及現(xiàn)在的MySQL數(shù)據(jù)庫勒索，可以發(fā)現(xiàn)都是基線安全問題導(dǎo)致被黑客劫持?jǐn)?shù)據(jù)而勒索，原因在于這些服務(wù)都開放在公網(wǎng)上，并且存在空密碼或者弱口令等使得攻擊者可以輕易暴力破解成功，直接連上數(shù)據(jù)庫從而下載并清空數(shù)據(jù)，特別是不正確的安全組配置導(dǎo)致問題被放大。

其實(shí)類似問題已不是第一次，近期云鼎實(shí)驗(yàn)室觀測(cè)到多起案例，攻擊呈現(xiàn)擴(kuò)大態(tài)勢(shì)，不僅僅是勒索，更多的是服務(wù)器被入侵，從而導(dǎo)致數(shù)據(jù)被下載。基線安全問題已經(jīng)成了Web漏洞之外入侵服務(wù)器的主要途徑，特別是弱口令等情況。錯(cuò)誤的配置可以導(dǎo)致相關(guān)服務(wù)暴露在公網(wǎng)上，成為黑客攻擊的目標(biāo)，加上采用空密碼等弱口令，黑客可以輕易入侵這些服務(wù)。

安全自查

值此事件爆發(fā)之際，建議對(duì)自己的服務(wù)器進(jìn)行自查，避免相關(guān)數(shù)據(jù)丟失等問題，具體自查方式可參考如下：
1、排查服務(wù)器開放的端口及對(duì)應(yīng)的服務(wù)，如無必要，關(guān)閉外網(wǎng)訪問；可以使用NMap 直接執(zhí)行 nmap 服務(wù)器IP（在服務(wù)器外網(wǎng)執(zhí)行），可得到以下結(jié)果即為開放在外網(wǎng)的端口和服務(wù)。

2、重點(diǎn)針對(duì)這些開放在公網(wǎng)上的服務(wù)進(jìn)行配置的檢查，檢查相關(guān)服務(wù)是否設(shè)置密碼，是否弱口令。
3、如無必要，均不要使用root或者其他系統(tǒng)高權(quán)限賬號(hào)啟動(dòng)相關(guān)服務(wù)。

安全建議及修復(fù)方案

一、采用正確的安全組或者iptables等方式實(shí)現(xiàn)訪問控制；
二、關(guān)閉相關(guān)服務(wù)外網(wǎng)訪問和修改弱密碼：
1、MongoDB

配置鑒權(quán)
下面以3.2版本為例，給出 MongoDB設(shè)置權(quán)限認(rèn)證，具體步驟如下：

啟動(dòng)MongoDB進(jìn)程是加上-auth參數(shù)或在MongoDB的配置文件中加上auth = true；

帶auth啟動(dòng)的MongoDB，如未創(chuàng)建用戶，MongoDB會(huì)允許本地訪問后創(chuàng)建管理員用戶。創(chuàng)建步驟如下：

1. 切換到 admin 庫； 2. 創(chuàng)建管理員用戶，命令如下(user和pwd可以根據(jù)需要設(shè)置)： db.createUser({user: "root",pwd: "password",roles: [ "root" ]}) 3. 使用管理員用戶登錄后，根據(jù)角色創(chuàng)建您需要的用戶

關(guān)閉公網(wǎng)訪問
可通過MongoDB的bind_ip參數(shù)進(jìn)行配置，只需將IP綁定為內(nèi)網(wǎng)IP即可，如下：

1. 啟動(dòng)時(shí)增加bind_ip參數(shù)：mongod --bind_ip 127.0.0.1,10.x.x.x 2. 在配置文件mongodb.conf中添加以下內(nèi)容： bind_ip = 127.0.0.1,10.x.x.x 其中10.x.x.x為您機(jī)器的內(nèi)網(wǎng)IP.

2、Redis

配置鑒權(quán)

修改配置文件，增加 “requirepass 密碼” 項(xiàng)配置（配置文件一般在/etc/redis.conf）

在連接上Redis的基礎(chǔ)上，通過命令行配置，config set requirepass yourPassword

關(guān)閉公網(wǎng)訪問

配置bind選項(xiàng)，限定可以連接Redis服務(wù)器的IP，修改 Redis 的默認(rèn)端口6379

其他

配置rename-command 配置項(xiàng) “RENAME_CONFIG”，重名Redis相關(guān)命令，這樣即使存在未授權(quán)訪問，也能夠給攻擊者使用config 指令加大難度（不過也會(huì)給開發(fā)者帶來不方便）

相關(guān)配置完畢后重啟Redis-server服務(wù)

3、MySQL

配置鑒權(quán)
MySQL安裝默認(rèn)要求設(shè)置密碼，如果是弱命令，可通過以下幾種方式修改密碼:

UPDATE USER語句

//以root登錄MySQL后， USE mysql； UPDATE user SET password=PASSWORD('新密碼') WHERE user='root'; FLUSH PRIVILEGES;

SET PASSWORD語句

//以root登錄MySQL后， SET PASSWORD FOR root=PASSWORD('新密碼');

mysqladmin命令

mysqladmin -u root -p 舊密碼 新密碼

關(guān)閉公網(wǎng)訪問

啟動(dòng)參數(shù)或者配置文件中設(shè)置bind-address= IP綁定內(nèi)部IP

以root賬號(hào)連接數(shù)據(jù)庫，排查user表中用戶的host字段值為%或者非localhost的用戶，修改host為localhost或者指定IP或者刪除沒必要用戶

4、其他服務(wù)
請(qǐng)參考以上方式或者官方文檔進(jìn)行配置

參考鏈接

《避免 MongoDB 被勒索詳解，騰訊云上更安全》http://t.cn/RiVUEdY

《下一個(gè)獵殺目標(biāo)：近期大量MySQL數(shù)據(jù)庫遭勒索攻擊》http://t.cn/Ri5ES1T

《知名搜索引擎Elasticsearch成為勒索軟件敲詐目標(biāo)》http://t.cn/RiVUgFD

《Redis 未授權(quán)訪問配合 SSH key 文件利用分析》http://t.cn/RUO9UGY

本文首發(fā)騰云閣 警惕！MySQL成數(shù)據(jù)勒索新目標(biāo)

總結(jié)

以上是生活随笔為你收集整理的MySQL成勒索新目标，数据服务基线安全问题迫在眉睫的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。