1•2小青青的秘密基地数据库遭入侵事件

来自小青青的笔记
跳到导航 跳到搜索

发现事件

2019年1月2日17时48分26秒,小青青突然收到腾讯云发来的一封标题为《关于服务器存在mysql服务可能被暴力破解的风险通知》的邮件: 

尊敬的腾讯云用户,您好!

接相关监管单位通报,您服务器上的mysql服务可能已被暴力破解,存在数据泄露风险,请自查并采取防范措施。如未开通mysql服务请忽略本信息,如发现数据被窃取,请向当地公安机关报案。

涉及的腾讯云账号ID(保密)

涉及的服务器IP:123.206.211.148

自建数据库加固建议(仅供参考):

1. 密码强化,使用复杂密码设置,防止被破解。

2. 不推荐使用默认的端口3306, 换一个其他不常用的端口,避免通过端口进行攻击。

3. 不推荐开启远程访问, my.cnf 配置文件中添加 bind-address =127.0.0.1, 仅配置本地访问。

4. 如果有远程访问的需求,建议收敛账户的主机Host配置,允许特定安全网段访问数据库。

5. 使用云主机的安全组功能,限制访问来源和端口。

6. 定期修改账户密码,使用12位以上大小写字母、数字、特殊字符。

MySQL数据库安全加固可参考如下链接:

https://cloud.tencent.com/developer/article/1481939

https://cloud.tencent.com/developer/article/1451800

感谢您对腾讯云的信赖与支持,若在使用云产品过程中有任何问题可以提交工单反馈给我们,我们将尽快为您核实处理!

此致 
腾讯云团队

收到这个信息后,小青青迅速做出反应,于2020-01-02 19:07:58通过安全组设置将3306端口封禁。

事件调查

晚上21时许,小青青打开了数据库,发现所有的数据库中都仅剩下一张表:

id warning Bitcoin_Address Email
1 To recover your lost Database and avoid leaking it: Send us 0.06 Bitcoin (BTC) to our Bitcoin address 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: blog, note, gdg, weather, english . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise. 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD contact@sqldb.to
取自“http://test.largeq.cn/index.php?title=1•2小青青的秘密基地数据库遭入侵事件&oldid=390