【网络安全】浅谈数据库攻击复现及相关安全优化

前言

恰巧在交流群看到这么一条消息，由于安全意识缺乏，被不法之人黑进了数据库，并且 dump 了数据进行勒索；

接下来，博主将复现一些攻击数据库的场景，并介绍一些与数据库有关的安全优化；

被黑原因

MySQL 数据库 root 用户密码太弱，设置的太简单了；
MySQL 数据库 root 用户访问权限太高，没有加以限制，允许了除自身所在服务器 IP 地址访问，也对其之外的服务器访问门户大开；
MySQL 数据库使用的是默认端口3306，没有重新定义新端口，导致高风险；
MySQL 数据库，没有做定时备份功能，只依赖于自己的不定时备份；
数据库放在应用服务器上，没有独立出一台数据库服务器，和应用服务器分开，也因此增加了风险性；

场景复现

这里的话，攻击的是 暴露在公网上的数据库，对于本地才能访问的数据库，可以通过找到接口，以 SQL 注入的方式进行尝试一番。

根据上图的聊天记录，该安全团队应该是无差别的针对暴露在公网上的数据库进行弱口令攻击，而不巧的是，这位友友刚好中招了；

那接下来我们就开始复现了；

1、首先是寻找目标，有些开发者缺乏安全意识，对于在公网暴露的数据库 MySQL，不但使用默认端口，同时还使用弱口令作为密码，比如 123456 这些，因此我们可以写个脚本，伪代码如下：

import pymysqlwith open('pwd_dic', ..) as f:pwd_list = ...# 弱口令密码字典for ..:try:host = ''user = ''passwd = ''pymysql.connect(host=host, user=user, passwd=passwd)print(host, user, passwd)...except:pass

这样就能记录下来一些攻击目标了，这里博主进行分段讲解，没有一站到底；

2、拿到账号密码之后，就可以通过各种工具进行连接了；

这里的话，我们就通过 mysql 的原生服务直接连接：

mysql -h ip -u用户名 -p

连接好之后就可以进行一系列的操作了：

查看所有的数据库，show databases：
选择一个或多个数据库，use dbname，查看数据信息是否有价值：

确认要 dump 的数据库后，使用以下指令：

./mysqldump -h ip -u username -p'passwd' --default-character-set=utf8 dbname > /dump/dbname.sql

然后再删除原先的数据库，DROP DATABASE dbname，DROP TABLE tablename;
最后新建一个数据库和一个数据表，并留下信息即可；

这里只起引以为戒的作用，莫要自误！

安全优化

1、复杂化数据库用户密码

新安装的 MySQL 数据库中只有一个用户：root，密码设置可由大小写字母、符号和数字组合的形式组成，尽量复杂化，修改密码步骤如下：

# 进入 MySQL 数据库mysql -uroot -p*****# 切换到 mysql 库，mysql 库里存放着 user 表use mysql;# 查看 user 表情况，新安装 mysql 数据库的 user 表只有一个 root 用户select host,user from user;# 修改 root 密码update user set password=password('******')where user = 'root';# 修改后刷新权限flush privileges;# 退出 mysql 数据库exit;

TIP：也可以按此方式修改 root 用户名称，这样会更好！

2、限制数据库用户权限

新安装好的 MySQL 数据库一般除了所在服务器能访问外，其他服务器的 IP 地址是访问不了的，但是有些小伙伴会修改 root 用户的访问权限，允许所有的机器 IP 地址都能访问。

现在我的处理方式是：root 用户访问权限不变，为了开发需要，我可以新建一个临时用户 testUser，并赋予该用户只允许某个特定机器的 IP 地址访问，其他机器也是访问不了的，等开发完毕，项目正式上线后，就再把此临时用户删掉即可，新建临时用户步骤如下：

# 进入 MySQL 数据库mysql -uroot -p*****# 切换到 mysql 库，mysql 库里存放着 user 表use mysql;# 查看 user 表现有用户select host,user password from user;# 创建开发阶段所需临时用户：testUser，自定义密码，尽量复杂化create user 'testUser'@'localhost' identified by '临时用户密码';# 给新建临时用户分配访问权限，192.168.*.*** 为允许访问的 IP 地址grant all privileges on *.* to 'testUser'@'192.168.*.***' identified by '临时用户密码' with grant option;# 修改后刷新权限flush privileges;# 退出 mysql 数据库exit;

TIP：经过以上步骤，在特定 IP 地址机器上，就可以使用临时用户和密码访问安装的 MySQL 数据库了；

3、修改数据库默认端口

有经验的开发人员，项目部署到正式环境，会把 MySQL 数据库的默认端口替换成不常见的端口，例如：12385，替换默认端口步骤如下：

# 进入 MySQL 数据库mysql -uroot -p*****# 查看当前数据库的端口号，未修改端口情况下一般显示 3306show global variables like 'port';# 验证了 mysql 数据库是3306之后，就退出 mysql 数据库exit;# 紧接着进入相关配置文件修改端口号，退出数据库后，使用命令进入根目录 etc 文件夹cd /etc/# 编辑 etc 文件夹下 my.cnf 文件修改端口号，修改不了就直接添加一行例如：port = 12385vi my.cnf# 修改好 my.cnf 文件保存并退出，接着需要重启 mysql 服务service mysql restart# 以防万一你可以重新进入 mysql 数据库，查看端口是否更改过来

TIP：自定义的端口，如果服务器没有开通此端口，需要在服务器管理后台开通此端口号，要不然是无法访问的，且最好关闭之前的默认端口 3306！

4、准备数据库服务器

为了安全正式环境应该把数据库单独放一台服务器，只允许让应用服务器 IP 来访问数据库服务器，通过独立两者，就算其中一台发生问题，另一台也是好的，进一步降低了危险性。

5、定时备份数据库

开发定时备份功能，可以使用 Crontab，或者其他框架，设定周期备份数据，哪怕是数据丢失或被删除也可以快速恢复。