網絡安全研究組織 Shadowserver Foundation 上周掃描發現,互聯網上有近 360 萬台 MySQL 服務器在使用默認的 3306 號 TCP 端口。報告寫道:儘管其未深入分析數據庫的訪問級別 / 暴露程度,但這一潛在攻擊面本該是可以輕鬆規避的。從地區來看,美國以 120 萬+高居第一,其次是中國、德國、新加坡、荷蘭、以及波蘭。
IPv6 連接分佈(來自:Shadow Server)
Bleeping Computer 指出:超過 360 萬台暴露於互聯網上的 MySQL 服務器會公開響應查詢,使之成為了對黑客與勒索者極具吸引力的攻擊目標。
此外在這些可訪問的 MySQL 服務其中,有 230 萬台基於 IPv4 連接、另有 130 萬台設備採用了 IPv6 連接。
儘管 Web 服務器和應用程序連接到遠端數據庫的操作很是常見,但在合理的安全實踐中,本該鎖定相關實例、以只允許授權設備連接。
即使不得不暴露於互聯網上,服務器端也該始終伴隨着嚴格的用戶策略、修改默認訪問端口(3306)、啟用二進制日誌記錄、以及密切監視所有查詢並落實加密。
MySQL 版本分佈
詳細的掃描結果如下:
● IPv4 總暴露量:395 萬 7457 台服務器
● IPv6 總暴露量:142 萬 1010 台服務器
● IPv4 服務器查詢響應總數:227 萬 9908 次
● IPv6 服務器查詢響應總數:134 萬 3993 次
● 此外在所有暴露的 MySQL 服務器中,有近 67% 都可通過互聯網進行訪問。
據悉,數據盜竊的常見來源之一,就是安保失當的各類數據庫。管理員應始終鎖定數據庫,以防止任何未經授權的遠程訪問。
除了災難性的數據泄露,配置失誤的數據庫服務器還可能遭到破壞性攻擊、勒索軟件 / 遠程訪問木馬(RAT)感染,甚至 Cobalt Strike 攻擊。
想要了解如何如何安全地部署 MySQL 服務器、並消除潛在的系統安全漏洞,Shadow Server 建議管理員閱讀 5.7 / 8.0 版本的實施指南。