近期,深信服安全团队追踪到国内出现了针对MySQL数据库的勒索攻击行为,截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取。在此,深信服安全团队提醒广大用户注意防范(特别是数据库管理员),保护好核心数据资产,防止中招,目前在国内已有大型企业与普通用户中招案例。
此次勒索攻击行为,与以往相差较大,表现为不在操作系统层面加密任何文件,而是直接登录MySQL数据库,在数据库应用里面执行加密动作。加密行为主要有,遍历数据库所有的表,加密表每一条记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的勒索信息。例如,假设原始表名为xx_yy_zz,则加密后的表名为xx_yy_zz_encrypt,同时会新增对应勒索信息表xx_yy_zz_warning,_encrypt和_warning成对出现。
被加密后的表_encrypt为业务数据,而_warning是新增的,深信服安全团队选取其中一张新增勒索信息,打开发现如下信息:
可以看到,在新增表里面,黑客留下了message字段,为勒索信息;btc字段,为黑客比特币钱包地址;site字段,为黑客预留暗网信息网站,下图是暗网预留网页,显示这是一个提醒中招用户交赎金的页面。
在Linux服务器上进入MySQL应用,读取到勒索信息如下:
在数据库存储目录中,显示相关存储文件确实被加密:
深信服安全专家排查发现,黑客在拿到MySQL账号密码之后,登录了MySQL数据库,执行了SQL语句,对表进行加密操作。黑客的攻击手法较为新颖,采用了MySQL自带的AES加密函数对数据库中的数据进行加密,加密步骤如下图所示(这里以原始表g***ra为例):
此次攻击行为相比其他MySQL攻击更近泛化,国内除了多家大型企业中招之外,近日也有普通用户搭建的MySQL数据库中招。这里再次提醒大家,不论业务规模多大,做好安全防范。
1、在 *** 边界防火墙上全局关闭3306端口或3306端口只对特定IP开放;
2、开启MySQL登录审计日志,尽量关闭不用的高危端口;
3、建议MySQL数据库服务器前置堡垒机,保障安全,且审计和管控登录行为;
4、每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上);
5、截止目前,已感染用户以暴露在公网MySQL账号密码被窃取为主,提醒广大数据库管理员,切勿为了运维方便,牺牲数据安全。
已在Linux服务器上和Windows服务器上发现MySQL数据库被加密的案例,针对Windows用户,建议使用深信服免费查杀工具。深信服免费查杀工具链接如下:
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
淘宝找黑客,淘宝上面找到的黑客靠谱不靠谱,看了这件事情之后,估计你就不敢乱在淘宝找了,所以提高警惕才是正道。 怎么在淘宝上找黑客(淘宝黑客是真的吗) 1.2006年10月31日夜晚10点多,刚离线...
今年以来,百度出现一些比如:卖吧、魏则西的事件,一时间把百度推了向风尖浪口。很多用户甚至对百度产生了质疑,自从魏则西时间出现后,很多吃瓜群众都去知乎围观。小面小编带大家看看知乎是怎么黑百度的:百度派想...
"这件事本身是我们的管理强没做到位,才造成今天的结果。"今天,虎嗅F&M创新节上,盒马生鲜CEO候毅再次就"标签门"事件作出回应。"错了就是错了,盒马诚恳地向消费者道歉,不回避问题,积极承担责任。"...
教师资格证12月10日下午成绩公布,该如何查询?这4点需要注意! 各位小伙伴们,你们好呀,今天对于那些报考教师资格证的人来说是一个特殊的日子,因为在今天的时候就可以直接在网上查询之前考试的成绩了...
原标题:个人信息黑产链①|内鬼与黑客并存,一次交易动辄数十万条 针对网上“12306平台疑似旅客信息泄漏,低价出售410万旅客信息”一事,2018年12月28日晚,“中国铁路”官方微博发布消...
受影响程序: phpcms2008 gbk 漏洞文件:ask/search_ajax.php code: <?php require './include/common.inc.php';re...