前言
近期,領導有需求要導點測試數據進行測試。在阿里雲上買了臺搶佔型實例,安全組端口全部開放了,然後新建了個mysql數據庫,因爲跑測試數據,領導說用戶名密碼不用那麼麻煩,採用了簡單賬號密碼test/test。於是乎就中招了。
問題現象
Mysql中的非系統相關的數據表都被刪除,並且並且留下比特幣勒索信息在每個庫的WARNING表中。
#WARNING表中的記錄
To recover your lost Database and avoid leaking it: Send us 0.06 Bitcoin (BTC) to our Bitcoin address 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: xxxx,xxxxxx,xxxxxxxx,xxxxxxx . If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise. | 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD | [email protected] |
大概的意思就是:我們已經把你的數據庫備份,您交給我們0.06個比特幣,我們把數據給你,如果10天之內我們沒有收到款,即將把數據庫給公開或者作爲其他用途.根據我們以往接觸的朋友經驗,付款之後數據庫也不會給你(很可能黑客根本就沒有備份數據庫,只是刪除了數據庫然後勒索比特幣.
如何判斷黑客是否只刪了數據,而沒有拿走數據呢,最簡單的就是,排查最近時間段外網流出流量是否正常!(千萬別慌哈,只要數據沒被偷,大不了再導一份。即使數據被盜,我們也無法保證對方是否會公開或其他用。所以做好防護措施的重要性則顯而易見了!)
解決方案
對於這類情況,通過分析,確認黑客是刪除了數據庫,在沒有覆蓋的情況下,我們可以對其數據進行恢復,處理類似:MySQL drop database恢復(恢復方法同樣適用MySQL drop table,delete,truncate table)最大限度緩解因爲數據庫被破壞帶來的損失
注意事項
①避免mysql外網端口開放
②修改mysql外網端口號
③提高密碼複雜度
④開啓binlog