mysql 디비 랜섬웨어..
관련링크
본문
안녕하세요.
어제부터 갑자기 사이트 접속을 하면
"MySQL Host, User, Password, DB 정보에 오류가 있습니다."
라는 문구가 떠서 개발자 분에게 물어보니 db서버 랜섬웨어 공격을 받아서 나오는 증상이라고 답변 받았습니다.
그나마 다행인 것은 솔루션 파일들은 살아있어서 디비만 초기화 하려고 하는데요.
이 상황에서 디비만 초기화 시에 또 다시 같은 공격을 받을 수도 있을까요?
그리고 저희 개발자 분이 혹시 모르니 서버 보안세팅쪽으로 한 번 알아보시라고 하셨습니다만
의뢰 받으시는 분 계신다면 답변 부탁드립니다.
답변 3
DB 서비스는 외부에 공개할 필요가 없다면 네트워크 단에서 외부 접속이 되지않게 설정하고
이 경우 DB 서버는 외부 공격으로 부터 원천 차단이 됩니다.
하지만 DB 를 사용하는 어플리케이션에 보안관련 문제가 있는 경우 (e.g. SQL Injection)
문제되는 어플리케이션 코드를 수정하지 않는이상
초기화 해도 똑같은 증상이 다시 발생할수 있습니다.
배르만님 답변 감사합니다!
말씀대로 외부 포트가 오픈되어있었습니다.
그래서 디비만 공격 받은 것 같네요ㅜㅜ
호스팅사에도 크로스로 문의를 해보셔야 할듯 합니다.
DB만 랜섬웨어 공격을 받는다는 것도 이상하긴 합니다.
aws ec2 사용중입니다ㅠㅠ
db만 랜섬웨어 공격받을 수는 없는건가요?
/data/dbconfig.php 화일이 존재하는지 확인하고 있으면 내용에서
다음처럼 디비 정보들이 제대로 들어가 있는지 확인해보세요
define('G5_MYSQL_HOST', 'localhost');
define('G5_MYSQL_USER', ~~~);
제가 보기엔 디비서버가 랜섬 공격을 받은 것이 아니라 디비 정보 화일을 바꾸어버린 것 같군요
dbconfig.php화일 내용을 제대로 구성해서 넣어보면 디비 상황을 확인할 수 있을 것입니다
균이님 답변 감사합니다ㅜㅜ
mysql 폴더를 보니 공격한 흔적이 남아있고 코인 요구하는 메모가 있네요ㅜㅜ
확인해보니 디비 서버 외부 포트가 열려있고 디비서버 암호가 없었다고 하네요.
현재 서버 하나에 php, 아파치, 디비 이렇게 구성되어있는데 디비 서버를 따로 구축할 예정입니다ㅜㅜ
