更多动态

数据库运维案例-oracle数据库归档区爆满引起DOWN机

数据库维护事件-杭州软件公司监控系统异常,车辆无法监控

数据库维护案例-发票数据库性能耗尽,发票业务瘫痪

数据库维护-河北某集团数据库缺乏检查制度,导致数据库崩溃

数据库维护案例-广州电商网站数据库误操作引起性能耗尽

Goldengate同步方案_SQL SERVER到Oracle11g的同步【完整排错版亲测有效】

与北京OFO续签数据库巡检运维服务合同

广州鑫霸-dataguard broker+Goldengate双主热备方案

深圳解放路SQL Server2016 Always on集群部署维护项目

上海尤恩-Oracle数据库优化紧急救援项目

海南中诚实业-数据库月度巡检维保服务

杭州图软:Oracle active dataguard数据高可用部署运维项目

武汉网易通达-Oracle高可用集成维护服务

广州卓勤信息技术有限公司-Oracle数据库优化项目处理

中国南方电网双RAC+DG数据容灾高可用项目实施

2019年6月MYSQL数据库性能优化项目

展开更多 arrow03

MYSQL数据库勒索病毒的防范措施

2020-03-02 22:09冯工
 
二维码
192

最近,广州天凯科技遇到不少新客户咨询,MYSQL数据库遭受勒索病毒攻击,导致数据库数据被删,而先前用户并没有任何备份与安全意识,不但没有数据库备份,BINLOG日志没有打开,而且root密码很简单,并有甚者连123456这种默认密码都没有改!这给攻击者带来了极大的可乘之机!在此,天凯科技提醒广大客户注意防范(特别是数据库管理员),保护好企业数据安全,防止中招,目前国内已有不少中小企业中招的案例!

此次勒索攻击现象,与之前的windows漏洞,表现为不在操作系统层面加密任何文件,而是通过非法登录MySQL数据库,在数据库层面执行加密数据。加密操作主要有,遍历数据库中所有表,加密表每一行记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的勒索信息。例如,假设原始表名为emp_zz,则加密后的表名为emp_encrypt,同时会新增对应勒索信息表emp_warning,_encrypt和_warning成对出现,如下图。

1.png

被加密后的表_encrypt为业务数据,而_warning是新增的,选择其中一张新增勒索信息,打开发现如下信息:

2.png


可以看到,在新增表里面,黑客留下了message字段,为勒索信息;btc字段,为黑客比特币钱包地址;site字段,为黑客预留暗网信息网站,下图是暗网预留网页,显示这是一个提醒中招用户交赎金的页面。

3.png


在Linux服务器上进入MySQL数据库,读取到勒索信息如下:

4.png

在数据库存储目录中,显示相关存储文件确实被加密:

5.png

加密过程

经过分析,黑客在破解MySQL账号密码之后,登录了MySQL数据库,执行了SQL语句,对表进行加密操作。黑客的攻击手法较为新颖,采用了MySQL自带的AES加密函数对数据库中的数据进行加密,加密步骤如下图所示(这里以原始表g***ra为例):

6.png7.png8.png



此次攻击行为相比之前的SQL SERVER勒索病毒更直接,受害客户也更多,其主要原因还是客户的数据库维护安全意识不够。这里再次提醒大家,不论业务规模多大,都务必做好安全防范。目前该漏洞攻击,暂无补丁发布!所以只能靠维护来防范,下面是一些建议措施,可预防该攻击:

预防解决方案:

1、设置主机或云服务器禁止对外开放3306端口或3306端口只对特定IP开放;

2、重中之重,做好数据库定时备份策略,并开启binlo日志,关闭不用的高风险端口;

3、建议MySQL数据库服务器前置堡垒机,保障安全,且审计和管控登录行为;

4、MYSQL数据库的账号密码要设置高强度复杂密码,例如多种字符组合,长度建议超过10位;

5、把备份同事传输到异机保留多个版本,如有条件,做MYSQL的主从复制热备。


昵称:
内容:
验证码:
提交评论