网络安全研究组织 Shadowserver Foundation 上周扫描发现,互联网上有近 360 万台 MySQL 服务器在使用默认的 3306 号 TCP 端口。报告写道:尽管其未深入分析数据库的访问级别 / 暴露程度,但这一潜在攻击面本该是可以轻松规避的。从地区来看,美国以 120 万+高居第一,其次是中国、德国、新加坡、荷兰、以及波兰。 IPv6 连接分布(来自:Shadow Server) Bleeping Computer指出:超过 360 万台暴露于互联网上的 MySQL 服务器会公开响应查询,使之成为了对黑客与勒索者极具吸引力的攻击目标。 此外在这些可访问的 MySQL 服务其中,有 230 万台基于 IPv4 连接、另有 130 万台设备采用了 IPv6 连接。 尽管 Web 服务器和应用程序连接到远端数据库的操作很是常见,但在合理的安全实践中,本该锁定相关实例、以只允许授权设备连接。 即使不得不暴露于互联网上,服务器端也该始终伴随着严格的用户策略、修改默认访问端口(3306)、启用二进制日志记录、以及密切监视所有查询并落实加密。 MySQL 版本分布 详细的扫描结果如下: ● IPv4 总暴露量:395 万 7457 台服务器 ● IPv6 总暴露量:142 万 1010 台服务器 ● IPv4 服务器查询响应总数:227 万 9908 次 ● IPv6 服务器查询响应总数:134 万 3993 次 ● 此外在所有暴露的 MySQL 服务器中,有近 67% 都可通过互联网进行访问。 据悉,数据盗窃的常见来源之一,就是安保失当的各类数据库。管理员应始终锁定数据库,以防止任何未经授权的远程访问。 除了灾难性的数据泄露,配置失误的数据库服务器还可能遭到破坏性攻击、勒索软件 / 远程访问木马(RAT)感染,甚至 Cobalt Strike 攻击。 想要了解如何如何安全地部署 MySQL 服务器、并消除潜在的系统安全漏洞,Shadow Server 建议管理员阅读5.7/8.0版本的实施指南。
