MariaDBの中身をランサムウェアらしき何か?に盗まれたようだ。データベースの中にあった複数のテーブルは消えており、WARNINGというテーブルだけが残っている。そのテーブル内には以下のメッセージが残っていた。
※WARNINGテーブルには以下の書き込みが…(tokenの数値は念の為、書き換えています)URLにはアクセスしないことをおすすめします。
※追伸:DB接続3306ポートがインターネットに開放されていることに原因はあると思われるが、パスワード文字はそれなりに堅牢「長め&複数単語」でも書き換わる…なぜ?Webアプリケーション脆弱性によるものではないかどうかの確認が必要だと感じる。
To recover your lost databases and avoid leaking it: visit http://hn4wg4o6s5nc7763.onion and enter your unique token 00000000000000000000 and pay the required amount of Bitcoin to get it back. Databases that we have: fashion. Your databases are downloaded and backed up on our servers. If we dont receive your payment in the next 9 Days, we will sell your database to the highest bidder or use them otherwise. To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html | http://hn4wg4o6s5nc7763.onion
失われたデータベースを回復してリークを回避するには、http://hn4wg4o6s5nc7763.onionにアクセスし、一意のトークン00000000000000000000を入力して、必要な量のビットコインを支払って元に戻します。 私たちが持っているデータベース:ファッション。 データベースがダウンロードされ、サーバーにバックアップされます。 9日以内に支払いがない場合は、データベースを落札者に販売するか、それ以外の方法で使用します。 このサイトにアクセスするには、Torブラウザを使用していますhttps://www.torproject.org/projects/torbrowser.html | http://hn4wg4o6s5nc7763.onion
どうしてこんなことになったのか原因は不明だがセキュリティを考慮していない開発環境の出来事だった。もしかしたらgit/githubの情報を盗み見られたのかもしれない。PHPフレームワークLaravelの.envあたりにDB情報が記載されており、そのあたりの情報が公開されている問題があるのではないか?と思ったので、パスワードを変更して様子を見て見ることにした。そんなことを書いているうちに開発環境がファイアウォールの外にあり公開されていることがそもそもの問題なのではないか?と思うに至った。とりあえずデータベースの中を書き換えられている直接の原因がわからないと怖い問題だ。※原因がWebアプリケーション脆弱性の場合はかなり問題だと思う。
追伸1.CentOSのFireWallで3306ポートを閉じていますが…Dockerコンテナで起動したMySQLはどうやら世界に公開されちゃっている感じなんだと思います。Dockerはこのへんを理解せずに本番運用するのは危険ですね。Dockerの仮想ネットワーク部分のコントロールをしっかりできるようになることが自分の課題だと思いました。このままDockerを本番に乗せることは考えておりませんでしたが、そういう選択肢がまるでないわけではなかったので…開発環境のテーブルが書き換えられたおかげでセキュリティリスクに気づけてよかったです。
追伸2.前から知っていたことですが…Mysqlのアクセス制限ぽいものはあってないようなもの。パスワードも漏洩したらかんたんに破られるから…MySQLのパスワードはクラッカーからしたらあってないようなもの。(当たり前ですが)MySQLのアクセス制限はIP制限/接続元ホストの変更などもできるけど、絶対にファイアーウォール的なものだと考えてはいけない。
コメント