继2017年1月MongoDB、ElasticSearch等被入侵攻击后,MySQL数据库也成为了新的攻击目标。2月12日凌晨00:15起,攻击者通过使用root用户名暴力破解暴露在公网的MySQL服务器。攻击者新建表或删除数据库并勒索用户以比特币的方式支付“赎金”。
GuardiCore的研究负责人Ofri Ziv表示,攻击已在全球范围内散布,似乎不是针对特定的数据库。他未提供受感染数据库的具体预估数量,但他表示,“我们知道数千个暴露在网上的弱密码MySQL数据容易遭受攻击”。
中国境内能够搜索到的对公网开放的MySQL服务,如图:
在中国有228462多个MySQL数据库是对公网开放的,实际情况可能会更多,都存在被黑客暴力破解和入侵的风险。
勒索信息
攻击者在入侵MySQL数据库后留下了勒索信息,现在已知有两条不同的勒索信息。
[INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘[email protected]’)]
攻击者在勒索信息中留下了比特币地址、电子邮箱,并声称“将0.2比特币打到提供的比特币地址,并通过邮件发送你的IP或服务器DB名称来恢复数据库!你的DB已经备份到了我们的服务器!”。
另一条勒索信息为:
SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en.
“将0.2比特币打到比特币地址‘1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9’,并访问网站http://sognd75g4isasu2v.onion/来恢复数据库!SQL备份将在付款后可用!访问此网站请使用Tor浏览器。”
被攻击原因
有媒体称已经有上千台MySQL数据库被入侵攻击,究其原因,MySQL被攻击暴露出以下两个问题:
-
可以通过公网访问MySQL服务器
-
MySQL数据库没有进行鉴权或使用了简易密码
UCloud技术保障
默认只允许内网访问
UCloud云数据库UDB MySQL、MongoDB、Postgre SQL、分布式MySQL等为了用户的数据安全,默认没有提供公网IP,攻击者无法通过公网直接入侵UCloud云数据库。用户可以通过申请的云主机访问UDB,并且每个用户只允许访问该帐户下的内网IP。
关于UCloud账户网络隔离的信息详见(http://mp.weixin.qq.com/s/GFGXj-vrDqzrj4wJ
pgS
A)。
强制鉴权
UCloud用户在创建数据库时要求输入密码,界面会提示输入强复杂度密码。
不要使用纯数字、常见单词拼写、键盘上位置相邻的字符
建议数字、大小写字母、特殊字符等相互穿插密码
