信息化觀察網(wǎng)

攻擊事件序列

這幾次攻擊都被 Victor Gevers 和其他 GDI 基金會的成員發(fā)現(xiàn)并且持續(xù)追蹤，并且已經(jīng)報告給了 CERT 組織，他們甚至做了一個表格，具體記錄攻擊頻率、范圍：

除此之外，Gevers 還在 Twitter 上發(fā)文，進一步警告數(shù)據(jù)庫管理員，小心被攻擊：

7 days ago @GDI_FDN warned all GovCERTs 4 world-writeable Hadoop Distributed File Systems. 5 reacted, 28 clusters taken down. Thousands left pic.twitter.com/YAoEA0eoYH— Victor Gevers (@0xDUDE) January 21, 2017

尚未被攻擊的數(shù)據(jù)庫包括 Neo4J、Riak、Redis。

MySQL 攻擊事件

2017 年 2 月 12 日，持續(xù)了 30 個小時的攻擊，黑客嘗試各種方式，強行進入 MySQL 的 Root 賬戶。根據(jù)分析人士判斷，所有的攻擊都是來自荷蘭的同一個 IP 地址（109.236.88.20），這個 IP 地址屬于一家叫做 WorldStream 的公司，該公司提供主機托管服務(wù)。

由于攻擊者并沒有按照一種固定的套路進行攻擊，所以即便是來自一個 IP 地址，我們也不能推斷這次攻擊屬于一個黑客組織，當然，WorldStream 公司的主機只是被控制用來攻擊，并不是真兇。

攻擊者的手段很多，舉個例子，他們成功進入 MySQL 服務(wù)器之后，攻擊者會創(chuàng)建一個叫做“PLEASE_READ”的數(shù)據(jù)庫，然后創(chuàng)建一張叫做“WARNING”的數(shù)據(jù)表，并且記錄他們想要的贖金。也有一些 MySQL 服務(wù)器并沒有創(chuàng)建新的數(shù)據(jù)庫，而是直接在現(xiàn)有數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)表。這就證明了并不是同一個腳本執(zhí)行的創(chuàng)建、寫入操作，或者有可能是動態(tài)腳本。數(shù)據(jù)庫信息轉(zhuǎn)換為 SQL 插入語句如下所示：

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES (‘1′，’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’， ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’， ‘backupservice@mail2tor.com’) INSERT INTO `WARNING`(id, warning) VALUES (1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

黑客在導出整個數(shù)據(jù)庫的內(nèi)容之后清空了數(shù)據(jù)，留下他們的贖金要求，接下來就會有一些廠商不得不支付這些贖金，一般情況下他們還不敢對外聲張，以免聲譽受損。

MySQL 并不是第一個被攻擊的數(shù)據(jù)庫，今年早些時候，Cassandra、MongoDB、Hadoop、ElasticSearch、CouchDB 都已經(jīng)受到了攻擊，讓我們一一回顧當時的場景。

  Cassandra 攻擊事件

Cassandra 的這一波攻擊更像是學生炫耀技術(shù)或者善意的黑客組織發(fā)出的警報，黑客入侵了對外提供服務(wù)的 Cassandra 數(shù)據(jù)庫（通常是安全措施不到位的），并且在數(shù)據(jù)表內(nèi)留下了警告信息。

最先曝光的例子是通過 Twitter 發(fā)布的，一位名叫“DunningKrugerEffect”的用戶發(fā)推文，在數(shù)據(jù)庫中創(chuàng)建了一張“your_db_is_not_secure,”的數(shù)據(jù)表，并且留下了這么一段話：

Someone is warning unaware unprotected Cassandra database (https://t.co/2UcEiraM5l) owners by creating an empty "your_db_is_not_secure" db. pic.twitter.com/XDfvSPjeno— Victor Gevers (@0xDUDE) January 24, 2017

  MongoDB 攻擊事件

Victor Gevers 和 Niall Merrigan（這位同來自于安全研究 zuzhi）組織）發(fā)文，指出本次攻擊主要來自一個叫做 Kraken 的職業(yè)勒索團隊，大約有 16000 個數(shù)據(jù)庫被攻擊，占了所有被攻擊的 MongoDB 數(shù)據(jù)庫的 56%。

一共大約有 12 個組織參與了本次大規(guī)模攻擊行動。讓人震驚的是，很多受害數(shù)據(jù)庫都沒有對管理員賬號設(shè)置密碼，并且還保持這種狀態(tài)面向互聯(lián)網(wǎng)。

下面這張圖是 Kraken 團隊留給受害者的郵件截圖：

  ElasticSearch 攻擊事件

Niall Merrigan 同樣也追蹤了針對 ElasticSearch 的這波攻擊，他一個人就發(fā)現(xiàn)超過 600 個服務(wù)被攻擊了。

一個名叫“P1l4t0s”的勒索組織對該事件負責，并在受害人服務(wù)器上留下來了這么一段話：

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org

Itamar Syn-Hershko 是一位搜索&大數(shù)據(jù)專家，他發(fā)表了一篇博文，知道用戶如何加強 ElasticSearch 服務(wù)器的安全性，以對抗攻擊者。

  Hadoop & CouchDB 攻擊事件

一家叫做“NODATA4U”的黑客組織已經(jīng)入侵 Hadoop 數(shù)據(jù)存儲服務(wù)，然后清除數(shù)據(jù)，把所有的表名替換為“NODATA4U_SECUREYOURSHIT.”，如圖所示。

Gevers 也對這波攻擊進行了追蹤，他認為針對 Hadoop 的攻擊有別于前幾個，因為沒有要求贖金，更像是故意破壞，并且攻擊者會在一臺服務(wù)器上停留超過 1 個小時，這個做法和其他幾次攻擊方式不一樣。

針對 CouchDB 的攻擊就簡單多了，他們要錢，如圖所示：

這波針對 Hadoop 和 CouchDB 的攻擊導致很多 Hadoop、CouchDB 服務(wù)在周末停止工作，有些甚至到周一還是無法正常工作。

  總結(jié)

為了避免數(shù)據(jù)庫被外部攻擊，最好不要對外直接暴露數(shù)據(jù)庫地址，通過 Restful 協(xié)議方式對外提供服務(wù)，同時對數(shù)據(jù)加強安全保護。此外，比特幣的出現(xiàn)也為黑客提供了新的洗錢手段，需要各國聯(lián)系起來打擊這類黑客組織，還 IT 界太平。

術(shù)語解釋