保护您的数据库免受机会主义攻击者的侵害

如果您将数据库/服务器连接到互联网并且保护它们很差,您可以指望它们很快就会受到损害。

安全数据库

根据安全研究员 Radoslaw Zdonczyk 的调查结果 信任波 SpiderLabs,甚至在系统的 IP 地址被 Shodan 和 BinaryEdge 等互联网扫描仪列出之前,就会有登录尝试,一旦发生这种情况,它们的数量将会增加。

黑客准备突袭

在他的实验中,Zdonczyk 部署了两台 MySQL 和 MariaDB 服务器,并在默认的 MySQL/MariaDB 端口 (TCP/3306) 上使用假 root 帐户和易于猜测的密码使它们可用。

他用低(但不是最小)权限配置了 root 帐户并保留了默认配置,但启用了事件日志记录。他还创建了一些带有表的标准和非标准数据库,使蜜罐类似于生产环境。

在一个月的时间里,他注册了来自 24 个唯一 IP 地址的机器人驱动的登录尝试。 “一些地址在成功的暴力破解后就消失了,然后,一段时间后,[a] 来自新 IP 的连接在第一次尝试时成功登录,”他 成立,并推导出一个链接。

机器人并没有用数十万次蛮力尝试轰炸服务器,这很明显,使用机器人的机会主义攻击者知道缓慢检查流行密码可以让他们访问足够多的服务器。

不要为攻击者提供容易被利用的资源

攻击者如何使用该访问权限?

根据 Zdonczyk 的说法,他们试图通过下载(插件)后门并将其放置在多个位置来确保他们能够永久访问,并试图隐藏服务器上的恶意活动。他们还尝试向 root 帐户授予所有可能的权限并创建新的权限,并杀死各种进程为新的攻击做好准备。

“虽然我没有观察到任何表明攻击者正在下载文件、数据库或尝试加密驱动器(勒索软件)的活动,但攻击的主要目标是控制服务器(部分或全部)并建立一个CNC 通道,”他指出。

攻击者将使用这些服务器做什么?

“[它们] 可用于执行进一步的攻击,但至于其他攻击,我们只能推测,”Zdonczyk 告诉 Help Net Security。

“可能性列表可能是无穷无尽的,但受感染的服务器很可能成为另一个僵尸网络对等点,可用于 DDoS 攻击和其他活动。”

给数据库管理员的安全建议

他指出,这种类型的攻击肯定不会对管理良好的数据库构成威胁。不幸的是,总是(太多)不是。

“使用虚拟化和容器化技术,互联网边缘的服务总是充满挑战。我建议使用长而复杂的密码(如果可能,使用证书)而不是明显的用户名(“root”、“admin”)。这应该是今天的标准做法,”他建议道。

“在用户/组/功能/组件权限审查方面——限制越多越好。使用数据库安全审计扫描器(例如 AppDetectivePro)和 VPN 解决方案(例如 P2P、OpenVPN)是明智的选择。符合 CIS 或 斯蒂格 还建议使用安全标准。”

他补充说,在保护数据库方面,该过程取决于许多因素:数据库大小和用途、部署类型等。

“幸运的是,互联网上充满了描述这个主题的好文档,而不是列出特定的插件或配置选项。我建议执行良好的安全审计。您需要执行不仅涵盖数据库区域而且涵盖整个组织的审计。”

CISO 和数据库管理员可以使用 本文 量化其数据库的安全级别并确定进一步改进它的步骤。




分享这个