猎杀目标

猎杀目标
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
下一个猎杀目标：近期大量MySQL数据库遭勒索攻击 bimeover2017-02-28共391952人围观，发现 11 个不明物体资讯
随着MongoDB, ElasticSearch, Hadoop, CouchDB和Cassandra服务器的的沦陷，MySQL数据库成了攻击者的下一个猎杀目标。他们劫持了数百个MySQL数据库（也可能是上千个），删除了存储数据，并留下勒索信息，要求支付0.2比特币的赎金（约为235美元）。

MySQL-Logo.jpg

PLEASE_READ.WARNING
攻击由2月12日凌晨00:15发起，在短短30个小时内，攻击者拿下了成百上千个暴露在公网的MySQL服务器。经调查人员发现，在此次勒索攻击中，所有的攻击皆来自相同的IP地址，109.236.88.20，属于荷兰的一家网络托管服务提供公司WorldStream。

攻击者（可能）利用了一台被盗的邮件服务器，该服务器同样可以提供HTTP（s）和FTP服务器所提供的服务。

攻击以“root”密码暴力破解开始，一旦成功登陆，该黑客会获取已有MySQL数据库及其表的列表，TA在已有的数据库中新建一个名为WARNING的表，插入信息包括一个邮箱地址、比特币地址和支付需求。

还有一种情况是，该黑客会新建一个名为 ‘PLEASE_READ’的数据库再添加WARNING表，然后删除存储在服务器和本地数据库，有时甚至不转存任何数据。

incident_summary2-1500x498.png

两种攻击版本
以下是两种版本的勒索信息：

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)
在第一个版本中，勒索者的邮箱地址是‘backupservice@mail2tor.com’。到了第二个版本，TA给受害者提供了一个暗网地址‘http://sognd75g4isasu2v.onion/’来恢复他们的数据。在两个不同的版本中，攻击者给出的比特币钱包也不一样，分别是 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 和1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY 。

GuardiCore的专家表示：

我们不能确定这个做法是否是攻击者想让受害者相信支付赎金能恢复数据。

Tor-Site.png

请确保你的数据还在对方手中
0.2比特币似乎已成了国际惯例，先前有不少企业选择支付赎金的方式息事宁人。

建议受害者在决定支付之前检查日志，并查看攻击者是否手握获取你们的数据。

如果公司真的决定支付赎金，支付前应当询问对方是否真的有你们的数据。

总结
0.2比特币、成百上千的数据库被入侵、WARNING勒索信息等线索不由让人联想到先前被屠戮的MongoDB，不知这次的MySQL是否会成为第二个MongoDB。

这不是MySQL服务器第一次被勒索。2015年发生了同样的事，当时攻击者使用未修复的phpBB论坛劫持了数据库并对网站进行勒索，史称RansomWeb攻击。

如果IT团队遵循安全规范操作比如使用自动化服务器备份系统并且删除MySQL root 帐户或者至少使用强且难以被暴力破解的密码，就不会发生这种事。

MySQL数据库被勒索攻击的事件不容小嘘，瞬间暴涨的被勒索MongoDB数据库数量就是前车之鉴。（文章回顾传送门）

*参考来源：bleeping，guardicore，FB小编bimeover编译，转载请注明来自Freebuf.COM

bimeover
bimeover
52 篇文章
等级： 6级
||
上一篇：虽然SHA-1遭遇碰撞攻击，但“天还没塌”下一篇：卡巴斯基顶级安全专家叛国罪后续：7年前的案子，为何现在才提起？
这些评论亮了

CYlar (3级)回复
@ CYlar well done these guys
)12(亮了

softbug (7级)i am here!回复
暗网的webserver建在哪里的呢？这个可以追溯吗请高人来讨论一下
)9(亮了

走走停停回复
果然国外会作生意，天朝只知道抓肉鸡
)8(亮了

CYlar (3级)回复
@ CYlar 刚吼完就开，谁帮我把帖给删了。。
)7(亮了

逗比回复
隐含意思WorldStream抗投诉，值得拥有
)7(亮了
发表评论已有 11 条评论

softbug 认证作者专栏作者(7级) i am here! 2017-02-28回复 1楼
暗网的webserver建在哪里的呢？这个可以追溯吗请高人来讨论一下

亮了(9)

CYlar (3级) 2017-02-28回复 2楼
网管呢？这网站打不开啊

亮了(5)

CYlar (3级) 2017-02-28回复
@ CYlar 刚吼完就开，谁帮我把帖给删了。。

亮了(7)

CYlar (3级) 2017-02-28回复

@ CYlar well done these guys

亮了(12)

Tekcirc 2017-02-28回复 3楼
吓得我赶紧登录到几个服务器上去检查下

亮了(5)

zusheng 专栏作者(6级) 2017-02-28回复 4楼
我的天，全是弱口令啊。一大波服务器沦陷，安全工作又难玩了，大家都被勒索了。

亮了(6)

逗比 2017-02-28回复 5楼
隐含意思WorldStream抗投诉，值得拥有

亮了(7)

走走停停 2017-02-28回复 6楼
果然国外会作生意，天朝只知道抓肉鸡

亮了(8)

少帅力 (2级) 随便转转 2017-03-01回复 7楼
应该找高人做场法事，打点打点哈哈

亮了(6)

夜华 (1级) 2017-03-05回复 8楼
老外怎么这么没有安全意识呢^_^

亮了(6)

Finally (3级) 2018-02-28回复 9楼
弱口令。。。。

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
bimeover
bimeover

膜导师学徒

52
文章数
19
评论数
最近文章
近期正热的Word 0day漏洞已经被用于恶意软件散播和国家攻击
2017.04.14

黑客利用Apache Struts 2漏洞在服务器上传递Cerberus勒索软件
2017.04.14

Word曝0day漏洞：无需启用宏，打开文档就自动安装恶意程序
2017.04.10

浏览更多
相关阅读
FB视频：纪录片《暗网》之勒索软件篇Mac用户请注意：首款勒索软件已经现身【漏洞预警】MySQL现高危漏洞，可致服务器root权限被窃取收到“来自自己”的敲诈邮件，请不要惊慌新时代下的网络安全新常态：2018中国网络安全十大趋势预测
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论