随着MongoDB, ElasticSearch, Hadoop, CouchDB和Cassandra服务器的的沦陷,MySQL数据库成了攻击者的下一个猎杀目标。他们劫持了数百个MySQL数据库(也可能是上千个),删除了存储数据,并留下勒索信息,要求支付0.2比特币的赎金(约为235美元)。

【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击插图

PLEASE_READ.WARNING

攻击由2月12日凌晨00:15发起,在短短30个小时内,攻击者拿下了成百上千个暴露在公网的MySQL服务器。经调查人员发现,在此次勒索攻击中,所有的攻击皆来自相同的IP地址,109.236.88.20,属于荷兰的一家网络托管服务提供公司WorldStream。

攻击者(可能)利用了一台被盗的邮件服务器,该服务器同样可以提供HTTP(s)和FTP服务器所提供的服务。

攻击以“root”密码暴力破解开始,一旦成功登陆,该黑客会获取已有MySQL数据库及其表的列表,TA在已有的数据库中新建一个名为WARNING的表,插入信息包括一个邮箱地址、比特币地址和支付需求。

还有一种情况是,该黑客会新建一个名为 ‘PLEASE_READ’的数据库再添加WARNING表,然后删除存储在服务器和本地数据库,有时甚至不转存任何数据。

【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击插图1

 

GuardiCore的专家表示:

我们不能确定这个做法是否是攻击者想让受害者相信支付赎金能恢复数据。

【每日安全资讯】下一个猎杀目标:近期大量MySQL数据库遭勒索攻击插图2

请确保你的数据还在对方手中

0.2比特币似乎已成了国际惯例,先前有不少企业选择支付赎金的方式息事宁人。

建议受害者在决定支付之前检查日志,并查看攻击者是否手握获取你们的数据。

如果公司真的决定支付赎金,支付前应当询问对方是否真的有你们的数据。

总结

0.2比特币、成百上千的数据库被入侵、WARNING勒索信息等线索不由让人联想到先前被屠戮的MongoDB,不知这次的MySQL是否会成为第二个MongoDB。

这不是MySQL服务器第一次被勒索。2015年发生了同样的事,当时攻击者使用未修复的phpBB论坛劫持了数据库并对网站进行勒索,史称RansomWeb攻击。

如果IT团队遵循安全规范操作比如使用自动化服务器备份系统并且删除MySQL root 帐户或者至少使用强且难以被暴力破解的密码,就不会发生这种事。

MySQL数据库被勒索攻击的事件不容小嘘,瞬间暴涨的被勒索MongoDB数据库数量就是前车之鉴。

来源:freebuf.com

更多资讯

  1. CloudPets 泰迪熊泄漏数百万语音信息
  2. 调查称日本去年至少1260万条个人信息泄露
  3. 美媒:印度”无现金社会“计划或令10亿人身份信息面临风险
  4. 受访者认为个人信息泄露最严重领域是互联网和房地产
(信息来源于网络,安华金和搜集整理) 

作者 安华金和