據最新報道顯示，繼MongoDB和Elasticsearch之後，MySQL成為下個數據勒索目標，從2月12日凌晨開始，已有成百上千個開放在公網的MySQL資料庫被劫持，刪除了資料庫中的儲存資料，攻擊者留下勒索資訊，要求支付比特幣以贖回資料。

問題分析

遍觀MongoDB和Elasticsearch以及現在的MySQL資料庫勒索，可以發現都是基線安全問題導致被黑客劫持資料而勒索，原因在於這些服務都開放在公網上，並且存在空密碼或者弱口令等使得攻擊者可以輕易暴力破解成功，直接連上資料庫從而下載並清空資料，特別是不正確的安全組配置導致問題被放大。

其實類似問題已不是第一次，近期雲鼎實驗室觀測到多起案例，攻擊呈現擴大態勢，不僅僅是勒索，更多的是伺服器被入侵，從而導致資料被下載。基線安全問題已經成了Web漏洞之外入侵伺服器的主要途徑，特別是弱口令等情況。

錯誤的配置可以導致相關服務暴露在公網上，成為黑客攻擊的目標，加上採用空密碼等弱口令，黑客可以輕易入侵這些服務。

安全自查

值此事件爆發之際，建議對自己的伺服器進行自查，避免相關資料丟失等問題，具體自查方式可參考如下：
1、排查伺服器開放的埠及對應的服務，如無必要，關閉外網訪問；可以使用NMap 直接執行 nmap 伺服器IP（在伺服器外網執行），可得到以下結果即為開放在外網的埠和服務。

2、重點針對這些開放在公網上的服務進行配置的檢查，檢查相關服務是否設定密碼，是否弱口令。
3、如無必要，均不要使用root或者其他系統高許可權賬號啟動相關服務。

安全建議及修復方案

一、採用正確的安全組或者iptables等方式實現訪問控制；
二、關閉相關服務外網訪問和修改弱密碼：
1、MongoDB

a. 配置鑑權
下面以3.2版本為例，給出 MongoDB設定許可權認證，具體步驟如下：
1. 啟動MongoDB程序是加上-auth引數或在MongoDB的配置檔案中加上auth = true；
2. 帶auth啟動的MongoDB，如未建立使用者，MongoDB會允許本地訪問後建立管理員使用者。建立步驟如下：

1. 切換到 admin 庫；
2. 建立管理員使用者，命令如下(user和pwd可以根據需要設定)：
db.createUser({user: "root",pwd: "password",roles: [ "root" ]})
3. 使用管理員使用者登入後，根據角色建立您需要的使用者
 

b. 關閉公網訪問
可通過MongoDB的bind_ip引數進行配置，只需將IP繫結為內網IP即可，如下：

1. 啟動時增加bind_ip引數：mongod --bind_ip 127.0.0.1,10.x.x.x
2. 在配置檔案mongodb.conf中新增以下內容：
bind_ip = 127.0.0.1,10.x.x.x
其中10.x.x.x為您機器的內網IP.

2、Redis
a. 配置鑑權
1. 修改配置檔案，增加 “requirepass 密碼” 項配置（配置檔案一般在/etc/redis.conf）
2. 在連線上Redis的基礎上，通過命令列配置，config set requirepass yourPassword

b. 關閉公網訪問
1. 配置bind選項，限定可以連線Redis伺服器的IP，修改 Redis 的預設埠6379

c. 其他
1. 配置rename-command 配置項 “RENAME_CONFIG”，重名Redis相關命令，這樣即使存在未授權訪問，也能夠給攻擊者使用config 指令加大難度（不過也會給開發者帶來不方便）

相關配置完畢後重啟Redis-server服務

3、MySQL
a. 配置鑑權
MySQL安裝預設要求設定密碼，如果是弱命令，可通過以下幾種方式修改密碼:
1. UPDATE USER語句
“`
//以root登入MySQL後，
USE mysql；
UPDATE user SET password=PASSWORD(‘新密碼’) WHERE user=’root’;
FLUSH PRIVILEGES;

2. SET PASSWORD語句
   ```
   //以root登入MySQL後，
    SET PASSWORD FOR root=PASSWORD('新密碼');

1. mysqladmin命令

mysqladmin -u root -p 舊密碼 新密碼

b. 關閉公網訪問
1. 啟動引數或者配置檔案中設定bind-address= IP繫結內部IP
2. 以root賬號連線資料庫，排查user表中使用者的host欄位值為%或者非localhost的使用者，修改host為localhost或者指定IP或者刪除沒必要使用者

4、其他服務
請參考以上方式或者官方文件進行配置

參考連結

相關推薦