一旦发生数据库勒索事件，加强安全基线刻不容缓

2016年12月至2017年，互联网用户遭遇不同类型的数据勒索事件相继发生。 据统计，数据勒索事件至少有五种：

ElasticSearch 勒索软件事件

MongoDB勒索软件事件

MySQL勒索事件

Redis勒索事件

PostgreSQL 勒索软件事件

甚至还发生了针对甲骨文的勒索软件事件……

看来只要网络上有“裸奔”的数据库，都不能幸免。 数百个在公共网络上打开的 MySQL 数据库被劫持。 攻击者删除了数据库中存储的数据，并留下勒索信息，要求支付比特币来赎回数据。

一、事发原因

从MongoDB、Elasticsearch以及目前MySQL数据库被勒索的案例中可以发现，导致黑客劫持数据并勒索的都是基线安全问题。

主要问题的根本原因是这些被勒索的自建数据库服务是在公网上开放的，并且存在空密码或者弱密码，使得攻击者很容易暴力破解得逞，直接连接数据库下载并使用清除数据，尤其是安全组配置不正确导致问题被放大。

基线安全问题已经成为web漏洞以外的服务器入侵的主要途径，尤其是在没有网络访问控制、默认账号空密码、默认账号弱密码、后台暴露、后台无密码访问等情况下。 错误的配置会导致相关服务暴露在公网上，成为黑客攻击的目标。 再加上使用空口令等弱口令，黑客可以以极低的攻击成本轻松获取并入侵这些服务。

2、安全隐患自查

一旦找到原因，我就可以“对症下药”了。 您可以通过自动检测攻击或手动检查：

自动检测方式：

阿里云安全骑士默认提供检测策略，无需安装。 您可以登录控制台查看安全骑士的检测结果，并根据检测结果进行漏洞整改和封堵。

人工+工具检测：

也可以使用NMap之类的端口扫描工具，直接对勾选的服务器IP进行扫描（在服务器外网执行）比特币勒索事件，可以得到如下结果为外网开放的端口和服务。

三、安全建议及修复方案

1.配置严格的网络访问控制策略

当您安装了该服务或在运维过程中发现该服务对外开放后比特币勒索事件，您可以使用Windows自带的防火墙功能和Linux系统的iptables防火墙功能配置必要的访问控制政策。 当然，最简单的方法是使用 ECS 的安全组策略控制内外网的出入流量，防止暴露更多不安全的服务。

2、操作系统和服务的安全加固

必要的安全加固是保证业务上云安全可靠运行的条件。 您可以使用Security Knight的自动检测和手动加固指南对业务服务器进行安全加固。

更多安全加固指南请点击查看。

原文链接