【ランサムウェア】サーバのデータベース(mysql)が攻撃され、テーブル全削除&ビットコインを要求された件

ここ最近流行ってるらしい、データベースをクラックしてビットコインを要求するやつ。私も被害を受けてしまいました。基本的には下記URLと全く同じ被害となっています。
https://github.com/jerob/docker-ispconfig/issues/19

  1. 被害にあったのは管理しているデータベース(MySQL)だけっぽい
  2. DB名はそのままに、中身が空にされ「WARNING」というテーブルが追加される
    (本来はここに犯人のメアドなど書かれているらしいが、なぜかInsert失敗していた)
  3. 「PLEASE_READ_ME_XMG」というデータベースが追加されていた(構成は2同様)

最低限セキュリティ対策は行っていたつもりですが、こんなことになるとは。友人のインフラエンジニアとも相談し、侵入経路は「2016年ごろに作られたバックドア」が有力。

  • 最初からある(?)「mysql」DBに2016年から不審なデータインサートがされていた
  • MySQLで使っているポートが、外部許可されていた(パスワードは乱数でかけてある)
  • MySQLのユーザーに、身に覚えがないヤツが何人かいた(勘違いかもしれないけど…)

2016年といえば、ちょうどMySQLの脆弱性が流行った時期ですよね。つまりここ最近攻撃されたというより、昔作られた裏口からサクッと侵入されてしまったんじゃないかと。

すぐできる対策としては、MySQLは極力外部許可しない(せめてIP制限する)、不審なユーザーがいないか定期的に確認、データのバックアップはしっかり取っておこうですね。