从2016年12月份到2017年,互联网上陆续发生不同种类的数据勒索事件。经粗略统计,针对数据的勒索事件至少有以下类型:
ElasticSearch勒索事件
MongoDB勒索事件
MySQL勒索事件
Redis勒索事件
PostgreSQL勒索事件
针对Oracle的勒索事件
看起来只要是“裸奔”在互联网上的数据库,都未能幸免。成百上千个开放在公网的MySQL数据库被劫持,攻击者删除了数据库中的存储数据,并留下勒索信息,要求支付比特币以赎回数据。对于企业用户,如果发生这样的事情,可能面临一场“灾难”。
基线安全问题
从MongoDB和Elasticsearch,以及现在的MySQL数据库勒索案例中,可以发现受害数据库都是因为基线安全问题,才被黑客劫持而勒索。
这些被勒索的自建数据库服务都开放在公网上,并且存在空密码或者弱口令,使得攻击者可以轻易暴力破解出密码,连接数据库,下载并清空数据。再加上不正确的安全组配置,甚至没有配置任何网络访问控制策略,导致问题被放大。
基线安全问题已经成了Web漏洞之外入侵服务器的主要途径,特别是无网络访问控制、默认账号和空口令、默认账号弱口令、后台暴露、后台无口令、未授权访问等情况。错误的配置可以导致相关服务暴露在公网上,成为黑客攻击的目标;加上采用空密码和弱口令,更方便了黑客以极低的攻击成本入侵这些服务。
安全隐患自查
找到了原因,就可以”对症下药”,您可以通过自动检测攻击或人工两种方式对您的数据库进行排查。
自动检查
阿里云安骑士提供默认的检测策略。您可以登录到控制台,查看安骑士检测的结果,并根据结果,来整改封堵漏洞。
工具排查
您也可以使用类似NMap这样的端口扫描工具,直接针对被检查的服务器IP,在服务器外网执行扫描,以检查业务服务器开放在外网的端口和服务。
注意:需要在授权情况下对自身业务进行扫描,不要对其他不相关的业务进行非法扫描,以避免法律风险。
安全建议及修复方案
配置严格网络访问控制策略
当您安装完服务,或在运维过程中发现对外开放了服务后,您可以使用Windows自带防火墙功能、Linux系统的iptables防火墙功能来配置必要的访问控制策略。
推荐您使用ECS安全组策略,控制内外网出入的流量,防止暴露更多不安全的服务。
对操作系统和服务进行安全加固
必要的安全加固是确保业务在云上安全可靠运行的条件,您可以使用安骑士的自动化检测和人工加固指南对业务服务器进行安全加固。
