戯言。MariaDBの中身をハッカーに盗まれる。

徒然草2.0

MariaDBの中身をランサムウェアなのか?に盗まれる。WARNINGというテーブルだけが残り以下のメッセージが残されている。原因は不明だがセキュリティを考慮していない開発環境の出来事。git/githubの情報を盗み見られたとのことだが…laravelの.envあたりの情報が公開されている問題があるのではないか?パスワードを変更して様子見する。開発環境はファイアウォールの外にあり公開されていることがそもそもの問題。とりあえず書き換えれている直接の原因がわからないと怖い問題です。※原因がWebアプリケーション脆弱性の場合はかなり問題です。

WARNINGテーブルには以下の書き込みが…(tokenの数値は念の為、書き換えています)URLにはアクセスしないことをおすすめします。

※追伸:DB接続3306ポートがインターネットに開放されていることに原因はあると思われるが、パスワード文字はそれなりに堅牢「長め&複数単語」でも書き換わる…なぜ?Webアプリケーション脆弱性によるものではないかどうかの確認が必要だと感じる。


To recover your lost databases and avoid leaking it: visit http://hn4wg4o6s5nc7763.onion and enter your unique token 00000000000000000000 and pay the required amount of Bitcoin to get it back. Databases that we have: fashion. Your databases are downloaded and backed up on our servers. If we dont receive your payment in the next 9 Days, we will sell your database to the highest bidder or use them otherwise. To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html | http://hn4wg4o6s5nc7763.onion


失われたデータベースを回復してリークを回避するには、http://hn4wg4o6s5nc7763.onionにアクセスし、一意のトークン00000000000000000000を入力して、必要な量のビットコインを支払って元に戻します。 私たちが持っているデータベース:ファッション。 データベースがダウンロードされ、サーバーにバックアップされます。 9日以内に支払いがない場合は、データベースを落札者に販売するか、それ以外の方法で使用します。 このサイトにアクセスするには、Torブラウザを使用していますhttps://www.torproject.org/projects/torbrowser.html | http://hn4wg4o6s5nc7763.onion


追伸1.CentOSのFireWallで3306ポートを閉じていますが…Dockerコンテナで起動したMySQLはどうやら世界に公開されちゃっている感じなんだと思います。Dockerはこのへんを理解せずに本番運用するのは危険ですね。Dockerの仮想ネットワーク部分のコントロールをしっかりできるようになることが自分の課題だと思いました。このままDockerを本番に乗せることは考えておりませんでしたが、そういう選択肢がまるでないわけではなかったので…開発環境のテーブルが書き換えられたおかげでセキュリティリスクに気づけてよかったです。

追伸2.前から知っていたことですが…Mysqlのアクセス制限ぽいものはあってないようなもの。パスワードも漏洩したらかんたんに破られるから…MySQLのパスワードはクラッカーからしたらあってないようなもの。(当たり前ですが)MySQLのアクセス制限はIP制限/接続元ホストの変更などもできるけど、絶対にファイアーウォール的なものだと考えてはいけない。


 

コメント

タイトルとURLをコピーしました