please_read.warning
攻擊由2月12日淩晨00:15發起,在短短30個小時内,攻擊者拿下了成百上千個暴露在公網的mysql伺服器。經調查人員發現,在此次勒索攻擊中,所有的攻擊皆來自相同的ip位址,109.236.88.20,屬于荷蘭的一家網絡托管服務提供公司worldstream。
攻擊者(可能)利用了一台被盜的郵件伺服器,該伺服器同樣可以提供http(s)和ftp伺服器所提供的服務。
攻擊以“root”密碼暴力破解開始,一旦成功登陸,該黑客會擷取已有mysql資料庫及其表的清單,ta在已有的資料庫中建立一個名為warning的表,插入資訊包括一個郵箱位址、比特币位址和支付需求。
還有一種情況是,該黑客會建立一個名為 ‘please_read’的資料庫再添加warning表,然後删除存儲在伺服器和本地資料庫,有時甚至不轉存任何資料。
兩種攻擊版本
以下是兩種版本的勒索資訊:
guardicore的專家表示:
我們不能确定這個做法是否是攻擊者想讓受害者相信支付贖金能恢複資料。
請確定你的資料還在對方手中
0.2比特币似乎已成了國際慣例,先前有不少企業選擇支付贖金的方式息事甯人。
建議受害者在決定支付之前檢查日志,并檢視攻擊者是否手握擷取你們的資料。
如果公司真的決定支付贖金,支付前應當詢問對方是否真的有你們的資料。
總結
0.2比特币、成百上千的資料庫被入侵、warning勒索資訊等線索不由讓人聯想到先前被屠戮的mongodb,不知這次的mysql是否會成為第二個mongodb。
這不是mysql伺服器第一次被勒索。2015年發生了同樣的事,當時攻擊者使用未修複的phpbb論壇劫持了資料庫并對網站進行勒索,史稱ransomweb攻擊。
如果it團隊遵循安全規範操作比如使用自動化伺服器備份系統并且删除mysql root 帳戶或者至少使用強且難以被暴力破解的密碼,就不會發生這種事。
mysql資料庫被勒索攻擊的事件不容小噓,瞬間暴漲的被勒索mongodb資料庫數量就是前車之鑒。(文章回顧傳送門)