阿里云
云栖社区2017年度颁奖盛典
发表主题 回复主题
  • 8548阅读
  • 3回复

[云安全技术和产品专区 ]数据库勒索事件频发,安全基线加固工作刻不容缓

级别: 论坛版主
发帖
199
云币
369
— 本帖被 不靠谱贝贝 执行提前操作(2017-10-31) —
从2016年12月份到2017年,互联网用户陆续遭受到不同类型数据的勒索事件,笔者统计了一下,大概至少有5中类型的针对数据的勒索事件:  /gUD!@  
  • ElasticSearch勒索事件
  • MongoDB勒索事件
  • MySQL勒索事件
  • Redis勒索事件
  • PostgreSQL勒索事件
  • 甚至还有针对Oracle的勒索事件......
JV_V2L1Ut  
看起来只要是“裸奔”在互联网上的数据库,都未能幸免,成百上千个开放在公网的 MySQL 数据库被劫持,攻击者删除了数据库中的存储数据,并留下勒索信息,要求支付比特币以赎回数据。  _YPu  
:W*']8 M-  
-JwwD6D  
一.事件原因 Di>B:=  
]s<}'&  
从MongoDB 和 Elasticsearch 以及现在的 MySQL 数据库勒索的案例里面发现,可以发现都是基线安全问题导致被黑客劫持数据而勒索, %wk3&EC.  
主要问题的根因是由于这些被勒索的建数据库服务都开放在公网上,并且存在空密码或者弱口令等使得攻击者可以轻易暴力破解成功,直接连上数据库从而下载并清空数据,特别是不正确的安全组配置导致问题被放大。 5A`T}~"X  
r.#"he_6!.  
]aqg{XdGt  
基线安全问题已经成了 Web漏洞之外入侵服务器的主要途径,特别是无网络访问控制、默认账号和空口令、默认账号弱口令、后台暴露、后台无口令未授权访问等情况。错误的配置可以导致相关服务暴露在公网上,成为黑客攻击的目标,加上采用空密码等弱口令,黑客以极低的攻击成本轻松获取和入侵这些服务。 qEy]Rc%  
ai@hQJ*  
二.安全隐患自查 *@SZ0   
找到了原因,我就可以"对症下药"了,您可以通过自动化检测攻击或人工两种方式进行排查: 9aKt (g6  
  • 自动化检测方式:
=*Ru 2  
阿里安骑士提供默认的检测策略,无需安装,您可以登录到控制台,查看安骑士检测的结果,并根据结果进行整改封堵漏洞。 6E0{(*  
lVR a{._m  
.!Qo+(  
  • 人工+工具排查:
p"ElO,\  
您也可以使用类似NMap这样的端口扫描工具直接针对被检查的服务器IP(在服务器外网执行)执行扫描,可得到以下结果即为开放在外网的端口和服务。 [r f.&  
Trz41g  
三.安全建议及修复方案 7'1 +i  
#V#sg}IhM?  
zd-qQ.j0  
1.配置严格网络访问控制策略 8P[aX3T7G  
当您安装完服务或在运维过程中发现对外开放了服务后,您可以使用Windows 自带防火墙功能、Linux系统的iptables防火墙功能配置必要的访问控制策略,当然,最简单的方式可以使用ECS的安全组 策略控制内外网出入的流量,防止暴露更多不安全的服务。 9Atnnx]n  
&m8Z3+Ea  
Q( g&/O  
2.对操作系统和服务进行安全加固 /hksESiU  
必要的安全加固是确保业务在云上安全可靠运行的条件,您可以使用安骑士的自动化检测和人工加固指南对业务服务器进行安全加固。 ObIL  w  
[zMnlO  
^j>w<ljzz  
请点击参考更多的安全加固指南 }VI}O{  
D/x!`&.sN  
[ 此帖被正禾在2017-10-25 16:22重新编辑 ]
级别: 小白
发帖
20
云币
34
只看该作者 沙发  发表于: 11-11
Re数据库勒索事件频发,安全基线加固工作刻不容缓
安全问题不容小视
级别: 小白
发帖
23
云币
23
只看该作者 板凳  发表于: 11-14
Re数据库勒索事件频发,安全基线加固工作刻不容缓
购买阿里云服务器使用券,享官网全部优惠,更可获得幸运降临,抽取实物大奖: https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=kzp4uq6k
级别: 新人
发帖
9
云币
11
只看该作者 地板  发表于: 11-17
Re数据库勒索事件频发,安全基线加固工作刻不容缓
RDX".'`(=  
安全问题不容小视 V$e\84<  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个