針對MySQL數(shù)據(jù)庫的勒索病毒預(yù)警是怎樣的

針對MySQL數(shù)據(jù)庫的勒索病毒預(yù)警是怎樣的，針對這個問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

   近期，深信服安全團(tuán)隊追蹤到國內(nèi)出現(xiàn)了針對MySQL數(shù)據(jù)庫的勒索攻擊行為，截至目前已監(jiān)測到的攻擊行為主要體現(xiàn)為對數(shù)據(jù)庫進(jìn)行篡改與竊取。在此，深信服安全團(tuán)隊提醒廣大用戶注意防范（特別是數(shù)據(jù)庫管理員），保護(hù)好核心數(shù)據(jù)資產(chǎn)，防止中招，目前在國內(nèi)已有大型企業(yè)與普通用戶中招案例。

此次勒索攻擊行為，與以往相差較大，表現(xiàn)為不在操作系統(tǒng)層面加密任何文件，而是直接登錄MySQL數(shù)據(jù)庫，在數(shù)據(jù)庫應(yīng)用里面執(zhí)行加密動作。加密行為主要有，遍歷數(shù)據(jù)庫所有的表，加密表每一條記錄的所有字段，每張表會被追加_encrypt后綴，并且對應(yīng)表會創(chuàng)建對應(yīng)的勒索信息。例如，假設(shè)原始表名為xx_yy_zz，則加密后的表名為xx_yy_zz_encrypt，同時會新增對應(yīng)勒索信息表xx_yy_zz_warning，_encrypt和_warning成對出現(xiàn)。

被加密后的表_encrypt為業(yè)務(wù)數(shù)據(jù)，而_warning是新增的，深信服安全團(tuán)隊選取其中一張新增勒索信息，打開發(fā)現(xiàn)如下信息：

可以看到，在新增表里面，黑客留下了message字段，為勒索信息；btc字段，為黑客比特幣錢包地址；site字段，為黑客預(yù)留暗網(wǎng)信息網(wǎng)站，下圖是暗網(wǎng)預(yù)留網(wǎng)頁，顯示這是一個提醒中招用戶交贖金的頁面。

在Linux服務(wù)器上進(jìn)入MySQL應(yīng)用，讀取到勒索信息如下：

在數(shù)據(jù)庫存儲目錄中，顯示相關(guān)存儲文件確實被加密：

加密過程

深信服安全專家排查發(fā)現(xiàn)，黑客在拿到MySQL賬號密碼之后，登錄了MySQL數(shù)據(jù)庫，執(zhí)行了SQL語句，對表進(jìn)行加密操作。黑客的攻擊手法較為新穎，采用了MySQL自帶的AES加密函數(shù)對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密，加密步驟如下圖所示（這里以原始表g***ra為例）：

此次攻擊行為相比其他MySQL攻擊更近泛化，國內(nèi)除了多家大型企業(yè)中招之外，近日也有普通用戶搭建的MySQL數(shù)據(jù)庫中招。這里再次提醒大家，不論業(yè)務(wù)規(guī)模多大，做好安全防范。

解決方案

1、在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3306端口或3306端口只對特定IP開放；

2、開啟MySQL登錄審計日志，盡量關(guān)閉不用的高危端口；

3、建議MySQL數(shù)據(jù)庫服務(wù)器前置堡壘機，保障安全，且審計和管控登錄行為；

4、每臺服務(wù)器設(shè)置唯一口令，且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15位、兩種組合以上）；

5、截止目前，已感染用戶以暴露在公網(wǎng)MySQL賬號密碼被竊取為主，提醒廣大數(shù)據(jù)庫管理員，切勿為了運維方便，犧牲數(shù)據(jù)安全。

補充說明：

已在Linux服務(wù)器上和Windows服務(wù)器上發(fā)現(xiàn)MySQL數(shù)據(jù)庫被加密的案例，針對Windows用戶，建議使用深信服免費查殺工具。

關(guān)于針對MySQL數(shù)據(jù)庫的勒索病毒預(yù)警是怎樣的問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。