该图片由Robinraj PremchandPixabay上发布

我的小程序是在5月26号的时候上线的,运行了还没几天,5月30号的时候就有一个学弟告诉我说小程序用不了了,晚上回家打开电脑查看数据库的时候才发觉大事不好!

WX20190605-210513@2x

我的ytools数据库下的数据表去哪了,怎么就剩下一个WARING了????

u=3304691937,3517639434&fm=26&gp=0

吓得我赶紧百度了一下

我擦,这是被攻击了吗?为什么腾讯云都没有给我安全警报啊???

不过有没有安全警报都是次要的,最主要的事情还是要弄清楚原因是啥,然后想办法补救和预防,仅以这篇文章记录下自己被攻击后的经历。

原因

查了一些资料发现,其实被删库的事件屡见不鲜,2016年-2017年间,就曾出现过大量MySQL数据库被攻击,黑客留下QQ号,并索要高额恢复费的事情,哪怕是现在这种事情也经常发生。其实总的来说还是因为我们在服务器安全防范方面,意识相当不够,侥幸心理严重(就像到现在我也不懂我这个小屁民啥事也没做为啥还要搞我一样)。以下两种情况的MySQL最容易被攻击。

服务器密码过于简单的

很多人图省事,将服务器密码设置简单,方便记忆与登录,这往往给黑客留下破解空间。一旦服务器密码被破解,那黑客将可以直接登录到服务器,肆意修改数据、删除数据。针对这项,在设置密码时,建议:使用字母、数字、字符组合的密码,尽量在8位10位以上。不定期更换密码。

网站程序直接使用root权限

很多新手在使用数据库时,没有进行权限设置(或者纯粹就是图省事,项目跑起来就行了),网站程序直接连接root权限,一旦网站程序被破解,root账号密码也将被hei客获取。MySQL涉及权限的表一共5个,最重要的权限表:user、db。user表里除了root localhost有所有权限外,其他 xxxx %一概没有权限。需要开通权限要在db表里。

总之千万不要用root以及管理员权限去运行!同时将权限限制到最小!

预防

下面是我查阅资料找到的一些常规的安全防范措施:

  1. 服务器的管理员密码具备一定复杂度,建议使用字母、数字、字符组合的密码。
  2. 服务器关闭远程访问(或关闭外网的远程访问),调整远程访问默认的端口号。
  3. MySQL的root用户密码具备一定复杂度,建议使用字母、数字、字符组合的密码。
  4. MySQL不允许任意远程端连接,建议仅对协同系统所在的IP地址放开连接。
  5. MySQL不使用默认的3306端口,建议修改为其他端口。(mysql的配置文件:Linux下为my.cnf)
  6. MySQL设置定时备份,并将数据备份包备份在异机(或异地)。
  7. 网站程序不直接使用root权限,单独设立用户权限。

措施

针对上述方法措施,在这给出修改过程。

环境声明

此次实验的环境为:腾讯云的Ubuntu Server 18.04,数据库为MySQL 5.7.25。

修改root账户密码

服务器密码的修改我们直接去控制台更改下就可以了,不多说,这里说下MySQL数据库root密码的更改。

  • 以root账户登录MySQL
mysql -u root -p

然后输入原先的root密码进入数据库操作(mysql shell)

  • 选择数据库
use mysql;
  • 更新root的密码
update user set authentication_string=password('新密码') where user='root' and host='localhost';

Tips:这里说明下,在MySQL 5.7 password字段已从mysql.user表中删除,新的字段名是authenticalion_string

  • 刷新权限
flush privileges;
  • 退出MySQL的shell环境并重启MySQL服务
sudo service mysql restart

修改MySQL的使用端口

我们知道MySQL的默认端口是3306,为了安全起见,建议将MySQL的默认端口号修改成自己想要的(有女朋友的就改成女朋友生日,这样就忘不掉了)。

查了很多资料说MySQL的配置文件在/etc/mysql/my.cnf路径下,但是当我查看内容的时候却给我下面这样的信息:

image-20190610105106423

这个文件里面根本没有任何参数设置(这是由于不同的mysql版本导致的,再次申明下我的系统版本为Ubuntu18.04,MySQL 5.7.25),只看到下面两行设置,表示导入这两个目录里面的配置文件。

!includedir /etc/mysql/conf.d/
!includedir /etc/mysql/mysql.conf.d/

分别尝试打开查看内容后我们发现其实MySQL的相关配置都位于/etc/mysql/mysql.conf.d/mysqld.cnf里,进入目录后执行cat mysql.cnf可以看到在**[mysqld]标签下有很多参数信息,其中有一个参数就是port**,我们把它设置成自己想要的端口号就可以了(记得用vim时要加上sudo啊)。

最后重启下mysql就可以了。

sudo service mysql restart

关闭MySQL的远程访问权限

MySQL有一套权限系统,他的主要功能是证实连接到一台给定主机的用户,并且赋予该用户在数据库上的SELECT、INSERT、UPDATE和DELETE权限。基于安全考虑root账户一般只能本地访问,但是在开发过程中可能需要打开root的远程访问权限,如果正式上线的时候没有关闭mysql的远程访问权限,就有可能会被利用然后删库。

  • 以root账户登录MySQL
mysql -u root -p

然后输入原先的root密码进入数据库操作(mysql shell)

  • 选择数据库
use mysql;
  • 关闭远程访问
update user set host = "localhost" where user = "root" and host= "localhost";
  • 刷新权限
flush privileges;
  • 退出MySQL的shell环境并重启mysql服务
sudo service mysql restart

最后

上述内容是我自己针对此次服务器被攻击后查阅相关资料整理出来的,因为对这方面我也不是很懂,也只能做些简单的防护措施,仅供参考,如果大家有什么建议的可以在评论区或者公众号后台给我留言。