從2016年12月份到2017年夯尽,互聯(lián)網(wǎng)用戶陸續(xù)遭受到不同類型數(shù)據(jù)的勒索事件冶忱,筆者統(tǒng)計(jì)了一下尾菇,大概至少有5中類型的針對(duì)數(shù)據(jù)的勒索事件:
ElasticSearch勒索事件
MongoDB勒索事件
MySQL勒索事件
Redis勒索事件
PostgreSQL勒索事件
甚至還有針對(duì)Oracle的勒索事件......
看起來只要是“裸奔”在互聯(lián)網(wǎng)上的數(shù)據(jù)庫,都未能幸免囚枪,成百上千個(gè)開放在公網(wǎng)的 MySQL 數(shù)據(jù)庫被劫持派诬,攻擊者刪除了數(shù)據(jù)庫中的存儲(chǔ)數(shù)據(jù),并留下勒索信息链沼,要求支付比特幣以贖回?cái)?shù)據(jù)默赂。
一.事件原因
從MongoDB 和 Elasticsearch 以及現(xiàn)在的 MySQL 數(shù)據(jù)庫勒索的案例里面發(fā)現(xiàn),可以發(fā)現(xiàn)都是基線安全問題導(dǎo)致被黑客劫持?jǐn)?shù)據(jù)而勒索括勺,
主要問題的根因是由于這些被勒索的自建數(shù)據(jù)庫服務(wù)都開放在公網(wǎng)上缆八,并且存在空密碼或者弱口令等使得攻擊者可以輕易暴力破解成功,直接連上數(shù)據(jù)庫從而下載并清空數(shù)據(jù)疾捍,特別是不正確的安全組配置導(dǎo)致問題被放大奈辰。
基線安全問題已經(jīng)成了 Web漏洞之外入侵服務(wù)器的主要途徑,特別是無網(wǎng)絡(luò)訪問控制乱豆、默認(rèn)賬號(hào)和空口令奖恰、默認(rèn)賬號(hào)弱口令、后臺(tái)暴露咙鞍、后臺(tái)無口令未授權(quán)訪問等情況房官。錯(cuò)誤的配置可以導(dǎo)致相關(guān)服務(wù)暴露在公網(wǎng)上,成為黑客攻擊的目標(biāo)续滋,加上采用空密碼等弱口令翰守,黑客以極低的攻擊成本輕松獲取和入侵這些服務(wù)。
二.安全隱患自查
找到了原因疲酌,我就可以"對(duì)癥下藥"了蜡峰,您可以通過自動(dòng)化檢測(cè)攻擊或人工兩種方式進(jìn)行排查:
自動(dòng)化檢測(cè)方式:
阿里云安騎士提供默認(rèn)的檢測(cè)策略,無需安裝朗恳,您可以登錄到控制臺(tái)湿颅,查看安騎士檢測(cè)的結(jié)果,并根據(jù)結(jié)果進(jìn)行整改封堵漏洞粥诫。
人工+工具排查:
您也可以使用類似NMap這樣的端口掃描工具直接針對(duì)被檢查的服務(wù)器IP(在服務(wù)器外網(wǎng)執(zhí)行)執(zhí)行掃描油航,可得到以下結(jié)果即為開放在外網(wǎng)的端口和服務(wù)。
三.安全建議及修復(fù)方案
1.配置嚴(yán)格網(wǎng)絡(luò)訪問控制策略
當(dāng)您安裝完服務(wù)或在運(yùn)維過程中發(fā)現(xiàn)對(duì)外開放了服務(wù)后怀浆,您可以使用Windows 自帶防火墻功能谊囚、Linux系統(tǒng)的iptables防火墻功能配置必要的訪問控制策略怕享,當(dāng)然,最簡單的方式可以使用ECS的安全組策略控制內(nèi)外網(wǎng)出入的流量镰踏,防止暴露更多不安全的服務(wù)函筋。
2.對(duì)操作系統(tǒng)和服務(wù)進(jìn)行安全加固
必要的安全加固是確保業(yè)務(wù)在云上安全可靠運(yùn)行的條件,您可以使用安騎士的自動(dòng)化檢測(cè)和人工加固指南對(duì)業(yè)務(wù)服務(wù)器進(jìn)行安全加固奠伪。
請(qǐng)點(diǎn)擊參考更多的安全加固指南跌帐。
