打钱!我的数据库被黑客勒索了!
来源 | 小白学黑客
责编 | 晋兆雨
头图 | 付费下载于视觉中国
数据库失陷
昨天晚上,读者群里一位小伙伴发消息说自己的数据库被黑了,搞安全的我自然是立刻来了兴趣,加班加点开始分析起来,不知道的还以为我要熬夜等剁手节呢。
这位小伙伴使用了某云平台搭建了一个自己的网站,昨天登录却发现了奇怪的报错:
看来是数据库出了问题,随后查看数据库,才发现粗事情了···
看来是遭勒索黑产团队盯上了,根据上面的提示信息,有两个数据库被他给下载后干掉了,分别是:kodbox、zxl。
这位小伙伴给了我账户密码,登录了上去。
用Navicat连接查看了一下,果然,这两个库中只剩下一个名字为WARNING的表,表中只有一行记录,留下了勒索者的威胁信息:
接下来,打算用SSH登录到服务器上,看看有没有什么蛛丝马迹。
首先检查了系统登录日志,并没有发现有可疑的IP登录记录。
再检查了系统用户列表,也没有发现有可疑的用户出现。
接着查看MySQL的日志,虽然这位小伙伴说没有开启binlog,但实际发现是开启的,并且日志文件也存在:
随后,在mysql-bin.000023中,找到了案发现场,使用mysqlbinlog工具查看binlog日志:
根据binlog时间戳显示,案发时间是在11月10日上午8:32-8:34分,短短两分钟之内完成的。
根据日志记录,攻击者并没有备份数据的操作,而是简单粗暴的进行了DROP操作,所以别指望乖乖听话打钱就能摆平。
接下来,准备查看一下MySQL的登录日志,看看这段时间是哪个IP和哪个用户名登录上来的。
很遗憾general日志没有开启:
再看看user表,一个神秘的admin用户出现在了这里,居然用的还是弱口令:123456
这不是等于开了一扇大门让人随意进出吗?
既然有binlog,要恢复起来还是比较容易。
其他发现
除了MySQL,在检查系统安全日志的时候,发现日志文件出奇的大:
不看不知道,一看吓一跳,里面全是来自各种IP的SSH暴力破解登录的记录,持续24小时在尝试,感觉受到了暴击:
用tail -f 命令打开的情况下,就是持续不断的在刷屏增长,可见攻势之猛烈。
幸好这位小伙伴的系统密码强度还算可以,不然早晚给打穿了。
但这持续不断的暴力登录也挺烦人的,应该让防火墙来干活了,没想到一检查防火墙竟然是关掉的状态。。。我感觉快要窒息了。
赶紧把防火墙扶起来工作,再给配一条规则,一分钟之内超过3次的SSH连接就给拒掉:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSH_RECENT --rcheck --seconds 60 --hitcount 3 -j DROP
再次检查secure日志,增长的速度明显放缓了。
安全建议
这次经历表明,安全离我们并不遥远。
所幸这个小伙伴这次的数据并不重要,而且还开启了binlog,没有造成什么重要的损失。可如果没有开启呢?万一是公司项目呢?那后果就严重了。
安全这根弦还是时常要紧绷,下面是几个小建议:
日志记录
在业务允许的条件下,尽可能的开启详尽的日志记录,以便在案发后溯源追踪。包括但不限于操作系统日志、审计日志、Web访问日志、数据库连接登录日志、数据操作日志等等。
数据备份
定时进行关键数据的备份存储,遇到勒索加密也能从容应对。
密码强度
不要用弱口令,数字、字母大小写、特殊符号一起上,一个好的密码可以帮你抗住一大半的攻击可能。
定期修改密码
就算用上了高强度密码,也不是一劳永逸,除了技术攻击,还有社会工程学,一个密码走遍天下风险极高,时不时修改密码也是非常有必要的。
防火墙
防火墙的重要性就不必多说了,用好防火墙,将绝大多数攻击者拒之门外。
专业的安全产品
对于企业和政府单位,还需要专业级的安全产品,比如全流量分析产品用于案件回溯,找到对方是怎么进来的,便于找出系统漏洞,及时修补。
互联网是一个充满了恶意的环境,别让你的服务器在云上裸奔~
更多阅读推荐
如何在SQL Server 2019中添加数据敏感度分类的命令
深度揭秘:腾讯存储技术发展史
一文教你如何在生产环境中在Kubernetes上部署Jaeger
如何在SQL Server 2019中添加数据敏感度分类的命令
一周内咸鱼疯转 2.4W 次,最终被所有大厂封杀!
打钱!我的数据库被黑客勒索了!相关推荐
- .COMBO勒索病毒解密恢复 .xx4444 勒索病毒数据库恢复 .ALCO勒索病毒解密恢复
.COMBO勒索病毒解密恢复 .xx4444 勒索病毒数据库恢复 .ALCO勒索病毒解密恢复 最近一段时间,.COMBO和.XX4444勒索病毒横行霸道, 每天被加密勒索的企业太多了. .COMBO ...
- 我被黑客勒索了...
最近在 b 站首页刷到了一个视频,up 主遭到了黑客的勒索,导致了重要的视频资料丢失.辛辛苦苦创作的东西,突然之间说没就没了,这种感觉多多少少还是能体会到一点.只不过这个 up 主所遭受的损失要严重得 ...
- .babyk后缀勒索病毒|勒索病毒解密恢复|数据库中babyk勒索病毒解密|勒索病毒文件恢复工具|数据库恢复
babyk勒索病毒概述,babyk勒索病毒解密恢复及日常防护建议 .babyk后缀勒索病毒|勒索病毒解密恢复|数据库中babyk勒索病毒解密|勒索病毒文件恢复工具|数据库恢复 babyk勒索病毒数据集 ...
- 交钱赎“人”!B站500万粉UP主被黑客勒索,腾讯都表示无解
近日,在B站拥有超500万粉丝的UP主"机智的党妹"发布视频称,自己遭到了黑客的病毒"勒索",需要交钱才能赎"人"--原来是她正在制作的数百 ...
- 黑客勒索遭遇霸气回应:不怕,我们有备份
假如你是一个公司老板,周一刚回到岗位,却发现整个公司的业务系统瘫痪,电脑屏幕弹出一个黑客勒索信息:"你们的所有系统已经被我锁死,快给我拿几十万过来否则撕票!" 这时你会怎么办,给钱 ...
- B站500万粉up主党妹被黑客勒索:交钱赎“人”!顶级安全专家:无解
点击上方蓝色小字,关注"涛哥聊Python" 重磅干货,第一时间送达 郭一璞 十三 发自 凹非寺 量子位 报道 | 公众号 QbitAI 最近真是太难了,要防新冠病毒,还要防勒索病 ...
- 趋势科技:黑客勒索瞄准智能电视
勒索软件正迅速成为黑客们最爱工具,因为它提供了一个快速致福且没有盗窃风险的机会.但随着安全研究人员合作,提高防御能力,网络攻击者也忙着为勒索寻找新的出路.安全公司趋势科技一直在跟踪称为FLocker的 ...
- mysql数据库被黑客删除,您做好防范了吗?
近期出现多例mysql数据库被删除的情况,此事项多为mysql服务或所在服务器允许外网可以访问,导致被黑客删除. 针对此事项,建议做以下调整,以防范黑客攻击: 1.服务器的管理员密码具备一定复杂度,建 ...
- 遇到黑客勒索病毒怎么办
提到黑客攻击,大家会想到的画面是:攻击者潜入系统运行特洛伊木马程序.不过当前这类网络安全事件仅占6.5%.最近由Verizon发布的<2020年数据泄露调查报告>显示,27%的黑客事件是通 ...
最新文章
- ES单字段支持的最大字符数
- settimeout需要清除吗_【期刊导读】新证据:HBsAg水平极低的非活动性HBsAg携带者经聚乙二醇干扰素治疗24周, HBsAg清除率高达83.3%...
- LockSupport 使用
- 到底使用接口还是抽象类
- 让IE6、IE7、IE8支持CSS3的圆角、阴影样式
- SQL查询入门(下篇)
- SAP NetWeaver平台介绍
- 【C语言简单说】十八:二维数组
- LeetCode 438. 找到字符串中所有字母异位词(滑动窗口)
- SpringMVC拦截器工作流程图
- table中怎么设置两行间距
- JBOSS集群技术升级版解决方案分享(图示篇)
- 类ResourceBundle详解
- ISIS协议的基础配置实验,原来做ISIS基础配置还可以这么有趣
- Center7.8服务器配置Tor服务和obfs4
- 数据通信最新技术复习
- 上海交通大学2004年数学分析考研试题
- Android集成百度地图实现导航
- css 所有选择器 实例与总结
- 儒猿秒杀季!ZooKeeper从0基础到源码级大神课