用云服务器挖矿 您的数据库如何成为黑客“矿工”

总结

2016 年是勒索软件猖獗的一年。 2017年，随着电子货币价格的上涨，“挖矿”成为黑客的新宠。黑客大多使用“肉鸡”（受控计算机）来挖掘并赚取电子货币以获取利润（比特币、门罗币等）。据统计，2017年，黑客组织仅用肉鸡挖了2010个门罗币用云服务器挖矿，折合61万美元。可以想象，2017年黑客通过挖矿获得的净利润可能会达到百万美元以上。

虽然“挖矿”不会像勒索软件那样直接导致受害者遭受数据丢失。但它会悄悄潜伏在受害者的机器中，利用机器资源任意进行挖矿活动，导致电脑卡死、变慢，甚至死机，直接影响用户体验。

“挖矿”由于机制的原因，对机器的性能有相当的要求。同时，黑客攻击的目标主要集中在允许访问外网的服务器上。因此，各种云上的RDS和ECS服务器成为黑客的优先攻击目标。黑客攻击成功后，将挖矿程序部署在服务器上。恶意占用受害者服务器资源，为自己赚取电子货币。

本文将为大家介绍什么是“挖矿”，以及常见黑客服务器部署挖矿程序的全过程，最后给出如何抵御黑客攻击的建议。

挖矿

为什么黑客要挖矿？这与电子货币系统密切相关。电子货币发行的过程可以简单地看成是挖矿的过程。电子货币是无国界的用云服务器挖矿，所以它不依赖于某个政府来发行。它是在电子货币系统中发行的。 “矿工”使用特殊的软件来解决数学问题。作为工作量的回报，“矿工”可以获得电子货币系统新生成的特定数量的电子货币。

以比特币为例，比特币网络中每10​​分钟就会产生一个新区块，这个新产生的区块包含三个点：

第一类：最近10分钟内产生的所有比特币交易记录。比特币使用 P2P 机制。所有的交易记录都会出现在每个人的账单上。每隔 10 分钟，比特币产生的新区块就会记录每个人的交易信息。

第二类：块锁。对于每个区块中数学谜题的答案，第一个通过哈希等复杂运算与答案碰撞的“矿工”将获得相应的比特币奖励。采矿对机器的性能有一定的要求。数据库服务器的性能普遍较高，因此黑客更愿意花费精力将数据库服务器捕获为矿机。

第三类：第一个解锁区块的矿工获得奖励。电子货币的发行机制倾向于将最大部分的奖励给予第一个解决数学难题的人。

恶意挖矿程序

电子货币机制的初衷是为了吸引更多的个人投资于系统，建立矿工工作奖励机制。因此用云服务器挖矿，社会上会有更多的人愿意为电子货币的网络系统提供个人电脑计算能力。随着电子货币价值的提升，越来越多的人会加入挖矿。

普通矿机自愿加入电子货币网络系统用云服务器挖矿，为电子货币提供算力，然后根据算力贡献能力从中获取收益。但恶意程序是未经授权植入受害者服务器的挖矿程序，窃取受害者个人电脑的计算能力，为黑客牟利。

矿机的选择

黑客经常选择入侵数据库服务器将其变成矿机，因为数据库服务器具有以下适合矿机的特点：

1.清晰的入侵通道

如果云上的数据库服务器没有配置，则开启外网IP用云服务器挖矿用云服务器挖矿，任何知道IP的人都可以访问服务器。数据库安装使用固定端口，黑客使用脚本进行批量攻击。除了利用数据库漏洞外，最常见的方法是暴力破解密码。一些云数据库服务有一组默认的用户名和密码，黑客可能会利用这些用户名和密码来渗透数据库。

2.有一定的性能保证

数据库服务器性能一般不会太低。矿工的收益与机器的性能密切相关，因此可以通过入侵数据库服务器部署挖矿程序来保证执行性能。

3. 可以执行系统命令并具有一定的权限

数据库服务器被入侵后，大部分数据库在修改一些配置后就可以在操作系统上操作文件，甚至可以执行操作系统命令，为下载挖矿工具和一些守护进程提供了可能和权限。

4. 可以建立稳定的链接

数据库被入侵后，黑客可以创建自己的数据库后门（数据库账号和密码），从而可以作为自己的矿机长期控制数据库和数据库服务器。

5.隐蔽性好

运行矿工可能会导致服务器压力激增。当数据库服务器的压力在某个时期增加时，人们不会立即认为是矿机造成的用云服务器挖矿，而是会在错误的方向上花费大量精力，从而减慢矿机被发现的时间并赚取更多利润。

黑客进程跟踪

在看到黑客选择了数据库服务器作为主要入侵目标之后，下面我们就来详细了解一下黑客是如何一步步把你的数据库变成他的矿机的。黑客从入侵到完成矿机部署主要分为以下5个步骤：

1、扫描以确定企图入侵的目标

黑客一般不会扫描整个网段，而是根据某个随机值扫描一个网段中选定的一部分，并使用该扫描。扫描只发送SYN包，通过打开端口响应SYN&ACK包，在关闭端口时响应RST包判断端口是否存在。这种方法虽然有一定的偏差，但可以有效地隐藏黑客的扫描行为。暂时发现黑客最关心的端口是1433()和3306(MySQL)，扫描后生成IP和端口列表。

2、暴力破解数据库

黑客扫描后将生成的列表发送给C&C服务器。开始配置密码字典，用于对扫描到的端口进行爆破。进行暴力破解时，会使用多只已经捕获的肉鸡，并分时段、分批次进行暴力破解。如果密码破解成功，则登录数据库，为下一次攻击做准备。

3、部署数据库后门

在成功登录数据库后，黑客会先尝试在数据库中部署后门，使数据库在未来可以长期稳定使用。

黑客经常使用一些特定的操作来创建后门用户或修改已知的用户密码。

请注意，如果您的数据库中存在 , , 401hk$, guest 中的任何一个。很有可能你的数据库服务器被某个黑客组织植入了矿机。

4、使用数据库下载挖矿程序

因为操作需要用到一些存储过程，所以整个过程分为两个阶段。第一阶段准备环境并修改数据库配置。第二阶段下载工具，第一阶段准备环境主要是让数据库具备执行shell的能力，最常见的就是使用执行shell

1）恢复

2）启用禁用

也使用执行shell

3）使用 SQL CLR 执行 shell

环境部署完成后，可以使用数据库调用shell，进入第二阶段下载挖矿工具

4）第二阶段下载挖矿工具

使用shell向C&C服务器发起请求下载挖矿工具。

5、部署挖矿程序开始挖矿

使用数据库完成一系列配置文件的创建和编写后，开始调用挖矿程序进行挖矿。

安全解决方案

说到底，整个数据库入侵过程主要是由于数据库密码薄弱和数据库安全配置不足造成的灾难。云上的数据库虽然部署简单，使用快捷，但在部署过程中难免会出现一些考虑不周的安全考虑，给不法分子带来可乘之机。

快速部署后的数据库安全配置至关重要。合理的安全配置会对密码的强度有相当的要求。数据库的安全配置可以参考各数据库官网的安全配置，也可以关注参考基于数据库研究并结合数据库优化安全配置系列文章云数据库 RDS/ECS 体验。

值得注意的是，黑客的主要攻击目标是Linux系统的数据库服务。如果可以控制可以访问数据库的机器，就可以有效避免此类攻击。通过数据库防火墙或网络防火墙等设备的严格控制，可以访问默认服务器的IP。因此，有必要经常检查有权访问数据库的设备列表，并将此列表保持在最低限度。白名单政策，应阻止和调查从不在列表中的 IP 或域连接到数据库的所有尝试。

为了更方便的解决数据库安全配置带来的各种安全问题，推荐使用安华云安全免费提供的数据库泄漏扫描绿色下载版，快速完成数据库安全配置的各项检查，并给出维修建议。从数据库配置中彻底阻断黑客入侵的步伐。