你的数据库是如何成为黑客的“矿机”的？

概括

2016年是勒索软件泛滥的一年。 2017年，随着电子货币价格的上涨，“挖矿”成为黑客的新宠。 黑客经常利用“肉鸡”（被控制的计算机）进行挖矿，赚取电子货币，从而获利（比特币、门罗币等）。 据统计，2017年仅黑客组织Hidden就使用肉鸡挖出2010枚门罗币，折合61万美元。 可以想象，2017年黑客通过挖矿获得的净利润可达百万美元以上。

虽然“挖矿”不会像勒索软件那样直接导致受害者遭受数据丢失。 但它会悄悄潜伏在受害人机器中，利用机器资源大肆进行挖矿活动，导致电脑卡顿、变慢甚至死机，直接影响用户体验。

“挖矿”由于机制原因对机器性能有相当高的要求，黑客攻击的目标主要集中在允许外网访问的服务器。 因此，各种云上的RDS和ECS服务器成为了黑客的优先目标。 攻击成功后，黑客在服务器上部署挖矿程序。 恶意占用受害者服务器资源，为自己赚取电子货币。

本文将向大家介绍什么是“挖矿”，以及常见黑客入侵服务器部署挖矿程序的全过程，最后给出如何抵御黑客攻击的建议。

矿业

黑客为什么要挖矿？ 这与电子货币系统密切相关。 发行电子货币的过程可以简单地看成是挖矿过程。 电子货币没有国界，其发行在电子货币体系内，不依赖于某个政府。 “矿工”使用一种特殊的软件来解决数学问题。 作为工作量的回报，“矿工”可以获得电子货币系统新生成的一定数量的电子货币。

以比特币为例，比特币网络每10分钟就会产生一个新区块。 这个新生成的块将包含三点：

第一类：最近10分钟内产生的所有比特币交易记录。 比特币采用P2P机制，每个人的交易记录都会出现在每个人的账单上，比特币每10分钟产生的新区块会记录每个人的交易信息。

第二类：块锁。 对于每个区块中数学谜题的答案，通过哈希等复杂计算，最先碰撞出答案的“矿工”将获得相应的比特币奖励。 采矿对机器的性能有一定的要求。 数据库服务器一般性能较高，因此黑客更愿意花费精力将数据库服务器攻陷为矿机。

第三类：第一个解锁区块锁的矿工获得奖励。 电子货币的发行机制倾向于将最大部分奖励给第一个解决数学问题的人。

恶意矿工

电子货币机制创建的初衷是为了吸引更多的个人投资于系统比特币挖矿机采用计算机，建立矿工工作的奖励机制。 因此，社会上越来越多的人愿意将自己的个人电脑计算能力提供给电子货币的网络系统。 随着电子货币价值的增加，会有更多的人加入其中进行挖矿。

普通矿机自愿加入电子货币的网络体系，为电子货币提供算力，然后根据自己的算力贡献能力从中获取收益。 但该恶意程序是一种挖矿程序，未经授权就植入受害者的服务器，窃取受害者个人电脑的算力，为黑客谋利。

矿机的选择

黑客往往会选择入侵数据库服务器，将其变成矿机，因为数据库服务器具有以下适合作为矿机的特点：

1.有清晰的入侵通道

如果没有配置云端数据库服务器，则启用外网IP。 任何知道 IP 的人都可以访问服务器。 数据库安装使用固定端口，黑客使用脚本批量攻击。 除了利用数据库漏洞入侵数据库外，最常见的方式就是暴力破解密码。 一些云端的数据库服务有一套默认的用户名和密码，很可能被黑客用来入侵数据库。

2.有一定的性能保证

数据库服务器的性能一般不会太低。 但矿工的收益与机器的性能密切相关，因此可以通过入侵数据库服务器部署挖矿程序来保证执行性能。

3.可以执行系统命令，有一定的权限

数据库服务器被入侵后，大部分数据库在修改一些配置后就可以对操作系统上的文件进行操作，甚至可以执行操作系统命令，为下载挖矿工具和一些守护进程提供了可能和权限。

4.可以建立稳定的链接

数据库被入侵后，黑客可以创建自己的数据库后门（数据库账号和密码），从而可以像自己的矿机一样长期控制数据库和数据库服务器。

5、隐蔽性好

矿机运行时，会导致服务器压力暴涨。 当数据库服务器在某段时间压力增大时，人们不会马上认为是矿机造成的，而是会在错误的方向上花费大量的精力，从而延缓矿机恢复的时间。被发现并赚取更多利润。

黑客攻击过程跟踪

了解了为什么黑客倾向于选择数据库服务器作为主要入侵目标之后，我们就来了解一下黑客是如何一步步将你的数据库变成他的矿机的。 黑客从入侵到完成部署矿机主要分为以下五个步骤：

1.扫描以识别企图入侵的目标

黑客一般不会对整个网段进行扫描，而是根据某个随机值对网段中选定的一部分进行扫描，并使用TCP_SYN扫描。 TCP_SYN扫描只发送SYN包，通过端口开放响应SYN&ACK包，通过端口关闭响应RST包判断端口是否存在。 这种方式虽然有一定的偏差，但是可以有效的隐藏黑客的扫描行为。 暂时发现黑客最关注的端口是1433（SQLServer）和3306（MySQL）。 扫描后，会生成一个 IP 和端口列表。

2.暴力破解数据库

扫描完成后，黑客会将生成的列表发送给C&C服务器，然后开始配置密码字典，在扫描到的端口上进行爆破。 在进行暴力破解时，会使用多只被攻陷的肉鸡在不同时间段、不同批次进行暴力破解。 如果密码破解成功，就会登录数据库，为下一次攻击做准备。

3.部署数据库后门

黑客在成功登录数据库后，首先会尝试在数据库中部署后门，以保证数据库在未来很长一段时间内保持稳定。 黑客经常使用某些操作来创建后门用户或修改已知用户密码。

请注意，如果您的数据库中存在 hanako、kisadminnew1、401hk$、guest、Huazhongdiguo110 中的任何一个帐户。 很有可能你的数据库服务器被黑客组织植入了矿机。

4.使用数据库下载挖矿程序

由于操作需要用到一些存储过程，所以整个过程分为两个阶段：第一阶段准备环境，修改数据库配置； 第二阶段下载工具。

第一阶段主要是让数据库具备执行shell的能力，最常见的是使用xp_cmdshell来执行shell：

1）恢复xp_cmdshell；

2）打开禁用的xp_cmdshell，

还有就是使用SP_OACreate来执行shell

3) 使用 SQL Server CLR 执行 shell

当环境部署完成后，就可以使用数据库调用shell，进入第二阶段；

4）第二阶段，下载挖矿工具，通过shell向C&C服务器发起下载挖矿工具的请求。

5.部署挖矿程序，开始挖矿

使用数据库完成一系列配置文件的创建和写入后比特币挖矿机采用计算机，开始调用挖矿程序进行挖矿。

安全解决方案

归根结底，整个数据库入侵过程主要是数据库密码薄弱和数据库安全配置缺失导致的灾难。 云上的数据库虽然部署方便，使用速度快，但在部署时难免存在安全考虑不周的地方，这就给不法分子带来了可乘之机。

快速部署后的数据库安全配置至关重要。 合理的安全配置对密码的强度会有相当大的要求。 数据库的安全配置可以参考各个数据库官网的安全配置。 同时，大家也可以关注并参考基于数据库研究，结合云数据库RDS/ECS经验的数据库最优安全配置系列文章。

值得注意的是，黑客的主要目标是Windows和Linux系统的数据库服务。 通过控制有权访问数据库的机器，可以有效地防止此类攻击。 通过数据库防火墙或网络防火墙等设备的严格控制，可以访问默认服务器的IP。 因此，必须经常检查有权访问数据库的设备列表，并且该列表应保持在最低限度。 尤其要注意列表中直接通过互联网访问的机器。 白名单政策，所有不在名单上的IP或域名连接数据库的尝试都应该被拦截和调查。

为了更方便的解决数据库安全配置带来的各种安全问题，推荐使用安华云安全提供的免费数据库扫描绿色下载版，快速完成数据库安全配置的所有检查并给出修复建议。 从数据库配置上彻底阻断黑客入侵的步伐。

免费获取数据库缺失扫描绿色下载版

长按二维码