611
數據庫勒索事件頻發,應該如何確保不被入侵勒索?
從2016年12月份到2017年,互聯網用戶陸續遭受到不同類型數據庫的勒索事件,筆者統計了一下,大概至少有5中類型的針對數據的勒索事件:
- ElasticSearch勒索事件
- MongoDB勒索事件
- MySQL勒索事件
- Redis勒索事件
- PostgreSQL勒索事件
- 甚至還有針對Oracle的勒索事件……
看起來隻要是“裸奔”在互聯網上的數據庫,都未能幸免,成百上千個開放在公網的 MySQL 數據庫被劫持,攻擊者刪除了數據庫中的存儲數據,並留下勒索信息,要求支付比特幣以贖回數據。這對於企業用戶,如果發生這樣的事情,可能麵臨一場“災難”。
以下攻擊者針對MongoDB勒索留下的勒索信息:
一.事件原因
從MongoDB 和 Elasticsearch 以及現在的 MySQL 數據庫勒索的案例裏麵發現,可以發現都是基線安全問題導致被黑客劫持數據而勒索,
主要問題的根因是由於這些被勒索的自建數據庫服務都開放在公網上,並且存在空密碼或者弱口令等使得攻擊者可以輕易暴力破解成功,直接連上數據庫從而下載並清空數據,特別是不正確的安全組配置或沒有配置任何網絡訪問控製策略導致問題被放大。
基線安全問題已經成了Web漏洞之外入侵服務器的主要途徑,特別是無網絡訪問控製、默認賬號和空口令、默認賬號弱口令、後台暴露、後台無口令未授權訪問等情況。錯誤的配置可以導致相關服務暴露在公網上,成為黑客攻擊的目標,加上采用空密碼等弱口令,黑客以極低的攻擊成本輕鬆獲取和入侵這些服務。
二.安全隱患自查
找到了原因,我就可以”對症下藥”了,您可以通過自動化檢測攻擊或人工兩種方式進行排查:
1.自動化檢測方式:
阿裏雲安騎士提供默認的檢測策略,無需安裝,您可以登錄到控製台,查看安騎士檢測的結果,並根據結果進行整改封堵漏洞。
2.人工+工具排查:
您也可以使用類似NMap這樣的端口掃描工具直接針對被檢查的服務器IP(在服務器外網執行)執行掃描,以確認業務服務器開放在外網的端口和服務。
三.安全建議及修複方案
1.配置嚴格網絡訪問控製策略
當您安裝完服務或在運維過程中發現對外開放了服務後,您可以使用Windows 自帶防火牆功能、Linux係統的iptables防火牆功能配置必要的訪問控製策略,當然,最簡單的方式可以使用ECS的安全組策略控製內外網出入的流量,防止暴露更多不安全的服務。
2.對操作係統和服務進行安全加固
必要的安全加固是確保業務在雲上安全可靠運行的條件,您可以使用安騎士的自動化檢測和人工加固指南對業務服務器進行安全加固。
請點擊參考更多的安全加固指南。
最後更新:2017-10-25 10:33:49