前段时间还一直在研究国产备份软件,其中有一项功能各家都有,叫防篡改,也叫防勒索病毒。一直都只是听说,觉得离自己很远。可它还是来到了我的身旁。
我的NAS被黑了,确切的多,是NAS上的数据库被黑了。数据库被删库,然后创建了一个叫RECOVER_YOUR_DATA的库,开始我还怀疑是不是我的库重启坏掉了,然后出现了一个要恢复数据的库。网上一搜关键字,才知道自己中招了!!!
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
mysql> use RECOVER_YOUR_DATA;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
+-----------------------------+
| Tables_in_RECOVER_YOUR_DATA |
+-----------------------------+
| RECOVER_YOUR_DATA |
+-----------------------------+
1 row in set (0.00 sec)
mysql> select * from Tables_in_RECOVER_YOUR_DATA\G
ERROR 1146 (42S02): Table 'RECOVER_YOUR_DATA.Tables_in_RECOVER_YOUR_DATA' doesn't exist
mysql> select * from RECOVER_YOUR_DATA\G
*************************** 1. row ***************************
text: All your data is backed up. You must pay 0.0118 BTC to 1BiSweLxU4N17i9SQpFsmF4eoYfEat9sFF In 48 hours, your data will be publicly disclosed and deleted. (more information: go to http://iplis.ru/data02)
*************************** 2. row ***************************
text: After payment send mail to us: dzen+2busk@onionmail.org and we will provide a link for you to download your data. Your DBCODE is: 2BUSK
2 rows in set (0.05 sec)
|
第一,我紧急将NAS隔离了,因不知道是哪里的问题,至少我还没有想明白这件事。
第二,当我知道中招了以后,我开始找源头在哪?如果只是数据库中招,那还好。至少没有对整体数据产生影响,数据库没了可以重建,里面也没有存放太重要的数据。
对方如何能访问我的数据库?
无外乎:内网和外网。我的数据库是否可以外网访问?之前我在路由器上做了端口映射,数据库的端口是没有被映射出去的,而NAS上,目前可以看到的是除了数据库中招,其他的资料还都正常(检查了大部分资料),但我还是很担心是不是病毒在潜伏,用NAS杀毒了两次也没有任何报警。这就很奇怪了~这事我还是没想通,然后我用5G流量去访问暴露的数据库,发现端口居然通!!!这下确定了,确实是外网暴露了数据库端口,而我当时改了一个弱爆了的密码。
设置了端口映射,但没有设置数据库的端口,为什么会被映射出去可访问呢?
检查了路由器的配置,发现对NAS的IP做了DMZ,怪我自己蠢了。居然自己挖了一个这么大的雷~
我想说,什么时候都不要放下警惕性,这次的大意也让我清楚的认识到,危险无处不在,有无数见不了光的渣渣正拼命的想法设法的攻破你的无知大门~@!