據(jù)Bleeping Computer報道，至少有360萬臺MySQL服務(wù)器已經(jīng)暴露在互聯(lián)網(wǎng)上，這意味著這些服務(wù)器已經(jīng)全部公開且響應(yīng)查詢。毫無疑問它們將成為黑客和勒索攻擊者最有吸引力的目標。

在這些暴露、可訪問的MySQL服務(wù)器中，近230萬臺是通過IPv4連接，剩下的130萬多臺設(shè)備則是通過 IPv6 連接。雖然Web服務(wù)和應(yīng)用程序連接到遠程數(shù)據(jù)庫是較為常見的操作，但是這些設(shè)備應(yīng)該要進行鎖定，保證只有經(jīng)過授權(quán)的設(shè)備才能連接并查詢。

此外，公開的服務(wù)器暴露應(yīng)始終伴隨著嚴格的用戶策略、更改默認訪問端口 (3306)、啟用二進制日志記錄、密切監(jiān)視所有查詢并執(zhí)行加密。

360萬個暴露的MySQL服務(wù)器

網(wǎng)絡(luò)安全研究組織 Shadowserver Foundation在上周的掃描中發(fā)現(xiàn)了360萬臺暴露的 MySQL 服務(wù)器，它們?nèi)慷际褂媚J的端口——TCP 3306。

對于這一發(fā)現(xiàn)，Shadow Server在報告進行了解釋：“雖然我們不檢查可能的訪問級別或特定數(shù)據(jù)庫的暴露程度，但這種暴露是一個潛在的攻擊面，應(yīng)該引起企業(yè)的警惕并關(guān)閉?！?/p>

這些暴露的MySQL 服務(wù)器廣泛分布于全球，其中分布最多的是在美國，數(shù)量超過120萬臺，其余則大多分布在中國、德國、新加坡、荷蘭、波蘭等多個國家。如下圖所示，熱力圖標注了通過IPv4連接的MySQL 服務(wù)器的分布情況。

IPv4 中暴露的 MySQL 服務(wù)器的熱圖 （Shadow Server）

具體來說，IPv4上的總暴露數(shù)量是3957457，IPv6上的總暴露數(shù)量是1421010，IPv4上的服務(wù)器響應(yīng)總數(shù)為2279908，IPv6上的服務(wù)器響應(yīng)總數(shù)為1343993，所有MySQL服務(wù)中有 67% 可從 Internet 訪問。

同時，Shadow Server 在報告中還表示，了解如何安全地部署 MySQL 服務(wù)器并消除可能潛伏在系統(tǒng)中的安全漏洞，可以閱讀5.7 版指南或8.0版指南。

事實上，數(shù)據(jù)庫保護不當是數(shù)據(jù)被盜最主要的原因之一，因此數(shù)據(jù)庫管理員應(yīng)始終鎖定數(shù)據(jù)庫，嚴格禁止未經(jīng)授權(quán)的非法的遠程訪問。

例如上文已經(jīng)暴露的MySQL數(shù)據(jù)庫服務(wù)器就處于巨大的安全威脅之中，可能導致災(zāi)難性的數(shù)據(jù)泄露、破壞性攻擊、勒索攻擊、遠程訪問木馬(RAT) 感染，甚至 Cobalt Strike 攻擊，這些都將給企業(yè)業(yè)務(wù)和運營帶來十分嚴重的影響。

因此，企業(yè)數(shù)據(jù)庫管理員應(yīng)進一步做好安全建設(shè)，并盡可能加密數(shù)據(jù)庫，避免赤裸裸地暴露在互聯(lián)網(wǎng)上，使其無法通過簡單的網(wǎng)絡(luò)掃描進行訪問。企業(yè)數(shù)據(jù)庫服務(wù)器如同原料車間，防止其暴露是最基本，也是最重要的指標。

參考來源：https://www.bleepingcomputer.com/news/security/over-36-million-mysql-servers-found-exposed-on-the-internet/