|
MYSQL数据库勒索病毒的防范措施 二维码
379
最近,广州天凯科技遇到不少新客户咨询,MYSQL数据库遭受勒索病毒攻击,导致数据库数据被删,而先前用户并没有任何备份与安全意识,不但没有数据库备份,BINLOG日志没有打开,而且root密码很简单,并有甚者连123456这种默认密码都没有改!这给攻击者带来了极大的可乘之机!在此,天凯科技提醒广大客户注意防范(特别是数据库管理员),保护好企业数据安全,防止中招,目前国内已有不少中小企业中招的案例! 此次勒索攻击现象,与之前的windows漏洞,表现为不在操作系统层面加密任何文件,而是通过非法登录MySQL数据库,在数据库层面执行加密数据。加密操作主要有,遍历数据库中所有表,加密表每一行记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的勒索信息。例如,假设原始表名为emp_zz,则加密后的表名为emp_encrypt,同时会新增对应勒索信息表emp_warning,_encrypt和_warning成对出现,如下图。 被加密后的表_encrypt为业务数据,而_warning是新增的,选择其中一张新增勒索信息,打开发现如下信息: 可以看到,在新增表里面,黑客留下了message字段,为勒索信息;btc字段,为黑客比特币钱包地址;site字段,为黑客预留暗网信息网站,下图是暗网预留网页,显示这是一个提醒中招用户交赎金的页面。 在Linux服务器上进入MySQL数据库,读取到勒索信息如下: 在数据库存储目录中,显示相关存储文件确实被加密: 加密过程经过分析,黑客在破解MySQL账号密码之后,登录了MySQL数据库,执行了SQL语句,对表进行加密操作。黑客的攻击手法较为新颖,采用了MySQL自带的AES加密函数对数据库中的数据进行加密,加密步骤如下图所示(这里以原始表g***ra为例): 此次攻击行为相比之前的SQL SERVER勒索病毒更直接,受害客户也更多,其主要原因还是客户的数据库维护安全意识不够。这里再次提醒大家,不论业务规模多大,都务必做好安全防范。目前该漏洞攻击,暂无补丁发布!所以只能靠维护来防范,下面是一些建议措施,可预防该攻击: 预防解决方案:
文章分类:
运维心得
|