据悉,超过360万台MySQL服务器暴露于互联网并响应查询,成为黑客和勒索者的目标。在这些可访问的MySQL服务器中,有230万台通过IPv4连接,130万台设备通过IPv6连接。
虽然Web服务和应用程序连接到远程数据库是很常见的,但这些实例应该被锁定,以便只有经过授权的设备才能连接。此外,公开服务器暴露应始终伴随着严格的用户策略、更改默认访问端口(3306)、启用二进制日志记录、密切监控所有查询并执行加密。
上周,网络安全研究组织Shadowserver Foundation的分析师在进行扫描的过程中发现,有360万台暴露的MySQL服务器使用默认端口,即TCP 3306端口。Shadow Server在报告中指出:“虽然我们没有检查可能的访问级别或特定数据库的暴露程度,但这种暴露是一个潜在的攻击面,应该被关闭。”
美国是拥有120万MySQL服务器,是数量最多的国家。此外,中国、德国、新加坡、荷兰和波兰等国家也拥有大量的MySQL服务器。
暴露在IPv4中的MySQL服务器
IPv4 上的总暴露人口:3,957,457
IPv6 上的总暴露人口:1,421,010
IPv4 上的服务器响应总数:2,279,908
IPv6 上的服务器响应总数:1,343,993
67%的MySQL服务器可从互联网上访问
要了解如何安全地部署MySQL服务器并消除系统中潜在的安全漏洞,Shadow Server建议管理员阅读相关指南。
出售被盗数据库的数据经纪人表示,数据被盗最常见的原因之一是数据库安全保护不当,管理员应始终锁定数据库,以防止未经授权的远程访问。如果没有保护好MySQL数据库服务器,可能会导致灾难性的数据泄露事件、破坏性攻击、赎金要求、远程访问木马(RAT)感染,甚至是CobaltStrike攻击。这些情况都会给受影响的组织带来严重后果,因此,组织应采用适当的安全措施,使设备无法通过简单的网络扫描被访问,这一点至关重要。
