據最新報道顯示,繼MongoDB和Elasticsearch之后,MySQL成為攻擊者的下一個數據勒索目標。從2月12日凌晨開始,在短短30個小時內,就有成百上千個開放在公網的MySQL數據庫遭到劫持,并被刪除了數據庫中的存儲數據。攻擊者留下勒索信息,要求支付0.2比特幣的贖金(約為235美元)以贖回數據。
據悉,在此次勒索攻擊中,攻擊者(可能)利用了一臺被盜的郵件服務器,所有的攻擊皆來自相同的ip地址,屬于荷蘭的一家網絡托管服務提供公司。數據庫遭受攻擊的事件已不止一次發生。近期,騰訊安全聯合實驗室旗下的云鼎實驗室已監測到多起案例,攻擊呈現擴大態勢,不僅僅是勒索,更多的是服務器被入侵,從而導致數據被下載。
通過對MongoDB和Elasticsearch以及當前的MySQL數據庫勒索分析,云鼎實驗室發現,基線安全問題已經成了Web漏洞之外入侵服務器的主要途徑。事實上,因為這些服務都開放在公網上,并且存在空密碼或者弱口令等情況,所以才使得攻擊者可以輕易暴力破解成功,直接連上數據庫從而下載并清空數據。而不正確的安全組配置也導致數據庫遭勒索的問題被放大。
當前數據庫頻遭攻擊,為此云鼎實驗室技術專家認為,相關廠商應對自身服務器采取自查措施并給出具體自查方式,避免相關數據丟失等問題。技術專家建議,廠商可排查服務器開放的端口及對應的服務,如無必要,關閉外網訪問;也可使用NMap直接執行 nmap 服務器IP(在服務器外網執行),得到開放在外網的端口和服務。
(開放在外網的端口和服務)
同時,重點針對這些開放在公網上的服務進行配置的檢查,檢查相關服務是否設置密碼,是否為弱口令。 如無必要,均不要使用root或者其他系統高權限賬號啟動相關服務。
針對數據庫存在被勒索的風險,云鼎實驗室技術專家也給出了安全建議和修復方案:可采用正確的安全組或者iptables等方式實現訪問控制;關閉相關服務外網訪問和修改弱密碼。
具體操作如下:
1、MongoDB
a)配置鑒權
下面以3.2版本為例,給出 MongoDB設置權限認證,具體步驟如下:
1、啟動MongoDB進程時加上-auth參數或在MongoDB的配置文件中加上auth = true;
2、帶auth啟動的MongoDB,如未創建用戶,MongoDB會允許本地訪問后創建管理員用戶。創建步驟如下:
1>切換到 admin 庫;
2>創建管理員用戶,命令如下(user和pwd可以根據需要設置):
db.createUser({user: "root",pwd: "passWord",roles: [ "root" ]})
使用管理員用戶登錄后,根據角色創建您需要的用戶
b)關閉公網訪問
可通過MongoDB的bind_ip參數進行配置,只需將IP綁定為內網IP即可,如下:
1、啟動時增加bind_ip參數:
mongod --bind_ip 127.0.0.1,10.x.x.x
2、在配置文件mongodb.conf中添加以下內容:
bind_ip = 127.0.0.1,10.x.x.x
其中10.x.x.x為您機器的內網IP.
2、Redis
a)配置鑒權
1、修改配置文件,增加 “requirepass 密碼” 項配置(配置文件一般在/etc/redis.conf)
2、在連接上Redis的基礎上,通過命令行配置,config set requirepass yourPassword
b)關閉公網訪問
1. 配置bind選項,限定可以連接Redis服務器的IP,修改 Redis 的默認端口6379
c)其他
1、配置rename-command 配置項 “RENAME_CONFIG”,重命名Redis相關命令,這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度(不過也會給開發者帶來不方便)
相關配置完畢后重啟Redis-server服務
3、MySQL
a)配置鑒權
MySQL安裝默認要求設置密碼,如果是弱命令,可通過以下幾種方式修改密碼:
1、UPDATE USER語句
以root登錄MySQL后,
USE mysql;
UPDATE user SET password=PASSWORD('新密碼') WHERE user='root';
FLUSH PRIVILEGES;
2、SET PASSWORD語句
以root登錄MySQL后,
SET PASSWORD FOR root=PASSWORD('新密碼');
3、mysqladmin命令
mysqladmin -u root -p 舊密碼 新密碼
b)關閉公網訪問
1、啟動參數或者配置文件中設置bind-address= IP綁定內部IP
2、以root賬號連接數據庫,排查user表中用戶的host字段值為%或者非localhost的用戶,修改host為localhost或者指定IP或者刪除沒必要用戶。
新聞熱點
疑難解答
