騰訊云鼎實(shí)驗(yàn)室：訪問控制、強(qiáng)化密碼可防MySQL數(shù)據(jù)庫遭劫持

據(jù)最新報(bào)道顯示，繼MongoDB和Elasticsearch之后，MySQL成為攻擊者的下一個(gè)數(shù)據(jù)勒索目標(biāo)。從2月12日凌晨開始，在短短30個(gè)小時(shí)內(nèi)，就有成百上千個(gè)開放在公網(wǎng)的MySQL數(shù)據(jù)庫遭到劫持，并被刪除了數(shù)據(jù)庫中的存儲(chǔ)數(shù)據(jù)。攻擊者留下勒索信息，要求支付0.2比特幣的贖金(約為235美元)以贖回?cái)?shù)據(jù)。

據(jù)悉，在此次勒索攻擊中，攻擊者(可能)利用了一臺(tái)被盜的郵件服務(wù)器，所有的攻擊皆來自相同的IP地址，屬于荷蘭的一家網(wǎng)絡(luò)托管服務(wù)提供公司。數(shù)據(jù)庫遭受攻擊的事件已不止一次發(fā)生。近期，騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的云鼎實(shí)驗(yàn)室已監(jiān)測(cè)到多起案例，攻擊呈現(xiàn)擴(kuò)大態(tài)勢(shì)，不僅僅是勒索，更多的是服務(wù)器被入侵，從而導(dǎo)致數(shù)據(jù)被下載。

通過對(duì)MongoDB和Elasticsearch以及當(dāng)前的MySQL數(shù)據(jù)庫勒索分析，云鼎實(shí)驗(yàn)室發(fā)現(xiàn)，基線安全問題已經(jīng)成了Web漏洞之外入侵服務(wù)器的主要途徑。事實(shí)上，因?yàn)檫@些服務(wù)都開放在公網(wǎng)上，并且存在空密碼或者弱口令等情況，所以才使得攻擊者可以輕易暴力破解成功，直接連上數(shù)據(jù)庫從而下載并清空數(shù)據(jù)。而不正確的安全組配置也導(dǎo)致數(shù)據(jù)庫遭勒索的問題被放大。

當(dāng)前數(shù)據(jù)庫頻遭攻擊，為此云鼎實(shí)驗(yàn)室技術(shù)專家認(rèn)為，相關(guān)廠商應(yīng)對(duì)自身服務(wù)器采取自查措施并給出具體自查方式，避免相關(guān)數(shù)據(jù)丟失等問題。技術(shù)專家建議，廠商可排查服務(wù)器開放的端口及對(duì)應(yīng)的服務(wù)，如無必要，關(guān)閉外網(wǎng)訪問;也可使用NMap直接執(zhí)行 nmap 服務(wù)器IP(在服務(wù)器外網(wǎng)執(zhí)行)，得到開放在外網(wǎng)的端口和服務(wù)。

同時(shí)，重點(diǎn)針對(duì)這些開放在公網(wǎng)上的服務(wù)進(jìn)行配置的檢查，檢查相關(guān)服務(wù)是否設(shè)置密碼，是否為弱口令。 如無必要，均不要使用root或者其他系統(tǒng)高權(quán)限賬號(hào)啟動(dòng)相關(guān)服務(wù)。

針對(duì)數(shù)據(jù)庫存在被勒索的風(fēng)險(xiǎn)，云鼎實(shí)驗(yàn)室技術(shù)專家也給出了安全建議和修復(fù)方案：可采用正確的安全組或者iptables等方式實(shí)現(xiàn)訪問控制;關(guān)閉相關(guān)服務(wù)外網(wǎng)訪問和修改弱密碼。

具體操作如下：

1、MongoDB

a)配置鑒權(quán)

下面以3.2版本為例，給出 MongoDB設(shè)置權(quán)限認(rèn)證，具體步驟如下：

1、啟動(dòng)MongoDB進(jìn)程時(shí)加上-auth參數(shù)或在MongoDB的配置文件中加上auth = true;

2、帶auth啟動(dòng)的MongoDB，如未創(chuàng)建用戶，MongoDB會(huì)允許本地訪問后創(chuàng)建管理員用戶。創(chuàng)建步驟如下：

1>切換到 admin 庫;

2>創(chuàng)建管理員用戶，命令如下(user和pwd可以根據(jù)需要設(shè)置)：

db.createUser({user: "root",pwd: "password",roles: [ "root" ]})

使用管理員用戶登錄后，根據(jù)角色創(chuàng)建您需要的用戶

b)關(guān)閉公網(wǎng)訪問

可通過MongoDB的bind_ip參數(shù)進(jìn)行配置，只需將IP綁定為內(nèi)網(wǎng)IP即可，如下：

1、啟動(dòng)時(shí)增加bind_ip參數(shù)：

mongod --bind_ip 127.0.0.1,10.x.x.x

2、在配置文件mongodb.conf中添加以下內(nèi)容：

bind_ip = 127.0.0.1,10.x.x.x

其中10.x.x.x為您機(jī)器的內(nèi)網(wǎng)IP.

2、Redis

a)配置鑒權(quán)

1、修改配置文件，增加 “requirepass 密碼” 項(xiàng)配置(配置文件一般在/etc/redis.conf)

2、在連接上Redis的基礎(chǔ)上，通過命令行配置，config set requirepass yourPassword

b)關(guān)閉公網(wǎng)訪問

配置bind選項(xiàng)，限定可以連接Redis服務(wù)器的IP，修改 Redis 的默認(rèn)端口6379

c)其他

1、配置rename-command 配置項(xiàng) “RENAME_CONFIG”，重命名Redis相關(guān)命令，這樣即使存在未授權(quán)訪問，也能夠給攻擊者使用config 指令加大難度(不過也會(huì)給開發(fā)者帶來不方便)

相關(guān)配置完畢后重啟Redis-server服務(wù)

3、MySQL

a)配置鑒權(quán)

MySQL安裝默認(rèn)要求設(shè)置密碼，如果是弱命令，可通過以下幾種方式修改密碼:

1、UPDATE USER語句 以root登錄MySQL后， USE mysql; UPDATE user SET password=PASSWORD('新密碼') WHERE user='root'; FLUSH PRIVILEGES; 2、SET PASSWORD語句 以root登錄MySQL后， SET PASSWORD FOR root=PASSWORD('新密碼'); 3、mysqladmin命令 mysqladmin -u root -p 舊密碼 新密碼

b)關(guān)閉公網(wǎng)訪問 1、啟動(dòng)參數(shù)或者配置文件中設(shè)置bind-address= IP綁定內(nèi)部IP 2、以root賬號(hào)連接數(shù)據(jù)庫，排查user表中用戶的host字段值為%或者非localhost的用戶，修改host為localhost或者指定IP或者刪除沒必要用戶。