MySQL数据库遭比特币劫持

引言

云服务器快过期了，这两天想着把数据给dump下来，上去一看数据库炸了。。

一番查询后发现文章：https://cloud.tencent.com/developer/article/1043057
对这个情况有所描述。后来我走投无路。向腾讯云提了个工单。

答复

腾讯云工程师2019-05-04 17:26:28
您好：
非常遗憾您的服务器遭到勒索病毒威胁，腾讯云并不能保证您的服务器一定不会被入侵，只要您的服务器有暴露在公网环境下，就有被木马入侵的可能，我们只能提醒您后续多关注下服务器安全，做好数据备份（快照等）。同时查看您的安全组是将全部的端口放行在公网之上，这在网络环境中是非常不安全的，请您谅解。
关于加密勒索，这边有如下2个途径可以帮到您，但不能为您保证一定可以解密。
https://id-ransomware.malwarehunterteam.com/
这个网站可以根据被加密的文件或者勒索信息探测是什么勒索软件，然后提供解密方案（有些勒索当前无解）
这个网站提供各种勒索解密工具
https://www.nomoreransom.org/

自从黑客组织泄露系统漏洞以来，全球性勒索病毒爆发，这个问题不是哪一个平台或者那个个人。
而且这个入侵问题，需要您自身加强服务器内部的安全。在早期WannaCry出现的时候就有不仅仅是windows系统需要防范，WannaCry2会有针对linux的漏洞。目前虽无法确定这个是否是WannaCry2，但是在出现勒索病毒开始，您就应该警觉，加强机器的防护。
服务器遭入侵一般有如下几种情况：
1.服务器密码超级简单，不要试几次就被试出来了
2.服务器全部端口暴露在公网之中，很多端口都是存在漏洞的，极易被入侵
3.数据库开启了外网访问权限而且密码超简单，被从数据库入侵后一步一步提权获取了root权限
4.redis入侵也是常有的事情，也是同样原理，redis开启了外网访问（redis默认没有密码）直接就被远程进去了，然后提权获取了root权限
5.其他的业务漏洞也可能导致此类问题发生

同时对您的云主机安全还有如下重点建议：
1.服务器设置大写、小写、特殊字符、数字组成不规律的12-16位的复杂密码
2.修改服务器默认远程登录端口
Windows远程端口修改参考文档：https://cloud.tencent.com/developer/article/1052163
Linux远程端口修改参考文档：https://cloud.tencent.com/developer/article/1124500
3.腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口，这样太危险，参考文档：https://cloud.tencent.com/document/product/213/18197
4.操作系统防火墙，必要的时候开启下防火墙做些安全规则
5.数据库如果不需要远程，请不要开启远程
6.如有redis请设置密码，如redis不需要远程，请不要开启远程
7.如果业务有用到mysql数据库的话，建议用跟云服务器同账号同地区的云数据库，首先同账号同地区的云数据库和云服务器内网互通，安全有保障，其次显著降低了服务器负载压力，另外，云数据库有自动备份功能（可以回档到3天之内任意时刻）
8.可以安装云镜加固服务器安全，参考文档：https://cloud.tencent.com/document/product/296/12236

如果您要进行问题定位，可参考如下链接进行排查。
系统优化及排查：
linux云主机系统安全优化及入侵排查方法：https://cloud.tencent.com/document/product/296/9604
windows云主机系统安全优化及入侵排查方法：https://cloud.tencent.com/document/product/296/9605
如果您有入侵溯源等方面的需求，可以选择我们的专家服务，详情可参考：https://www.qcloud.com/product/mssp?idx=1

尾言

嗯，毫无办法。倒霉。下次设置了高难度的密码！