数千个MySQL数据库遭入侵 攻击者索要赎金 部分数据惨遭删除

E安全2月27日讯 据报道，一波勒索攻击正威胁数千个暴露在网上的MySQL数据库，黑客正暴力破解安全性不佳的MySQL服务器。

身份不明的攻击者正暴力破解MySQL服务器，罗列现有数据库和表，窃取这些数据库和表，并创建新表，让数据库所有者支付0.2个比特币（约200美元）的赎金。攻击者声称，如果支付赎金，他们将让所有者访问数据。但事实也不一定如此，因为有一些数据库被删除。

类似的攻击事件于一月早些时候浮出水面，当时GDI Foundation的联合创始人Victor Gevers揭露，数千个不安全的MongoDB数据库被劫持，攻击者索要0.2比特币的赎金。不久之后，其它威胁攻击者开始劫持不安全的数据库，超过3万个MongoDB实例落入攻击者之手。预计Elasticsearch有3.5万个实例暴露在网上，因此也成为攻击的目标的之一，之后不久，Hadoop和CouchDB也遭到入侵。攻击者被发现在目标数据上重复利用彼此的勒索信，并且不再复制原始数据，而是简单地将数据删除。即使受害者支付赎金，也不能恢复自己的数据。

在某些情况下，攻击者让数据库所有者访问数据，但一些文件夹却被永久删除，事先并未转储。

不幸的是，要在网上找到MySQL数据库非常容易，通过暴力攻击就能设法猜出密码。

GuardiCore安全公司的专家发现，2月12日午时开始，30个小时内发生了数百起攻击。

攻击由同一IP地址（109.236.88.20）发起，可能是一个被感染的邮件服务器（由worldstream.nl托管）。研究人员几天后向荷兰这家Web托管公司通知了攻击事件。研究人员认为，攻击者使用被感染的邮件服务器（还作为HTTP（s）和FTP服务器）发起攻击。

Guardicore的分析指出，“根据GGSN报告，攻击发生在2月12日午夜00:15，持续了30个小时，其间发生了数百次攻击。我们能追踪所有攻击由IP地址109.236.88.20发起，其托管在worldstream.nl上。worldstream.nl是荷兰一家Web托管公司。攻击以破解root密码开始。攻击一旦登录成功，便会获取现有MySQL数据库及其表（Table）的列表。并且，攻击者会创建 “WARMING”新表，其中包含联系人电子邮箱、比特币地址和赎金。 ”

GuardiCore的研究负责人Ofri Ziv表示，攻击在全球范围内散布，似乎不是针对特定的数据库。他未提供受感染数据库的具体预估数量，但他表示，“我们知道数千个暴露在网上的弱密码MySQL数据容易遭受攻击。”

这次的攻击与MongoDB数据库遭受的攻击极为相似，攻击者在勒索信中都使用了WARNING（警告）和PLEASE_READ（请阅读）。但是，Ziv表示，没有办法确认是否为同一批攻击者所为。即便不是同一伙，肯定也是受前者的启发。

勒索信中比特币地址表露出活动的迹象，但GuardiCore表示，这不能证明受害者实际上支付了赎金。这些交易可能是攻击者在自导自演的，目的是为了鼓励受害者支付赎金。

专家发现两条不同的勒索信息：

请阅读。警告（ID、警告、比特币地址、电子邮箱）值（‘1′，将0.2比特币打到提供的地址，并用你的ip或服务器db名称联系邮件地址恢复数据库！你的DB已经备份到了我们的服务器！）‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’) [INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)]

令一条信息为：

请阅读。警告（ID、警告）

值（1，将0.2比特币打到地址1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9，并访问网站sognd75g4isasu2v.onion/www.torproject.org/projects/torbrowser.html.en

VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser www.torproject.org/projects/torbrowser.html.en

研究人员分析了攻击有关的比特币钱包交易：

1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9

1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY

专家强调，使用强密码和强制验证对保护网上暴露的MySQL服务器安全至关重要。

为了防止对管理员造成重大损失，应定期备份数据并持续监控MySQL数据库的访问。

GuardiCore还强调，“每个互联网上的MySQL数据库都容易遭受这种攻击，因此，请确保强化了服务器的安全。另外，确保服务器使用强密码，并经过验证保护。尽量减少面向互联网的服务，尤其包含敏感信息的服务。此外，监控互联网可访问的设备/ 服务对快速应对这类事件至关重要。”

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com