Hacker-Angriff auf meinen Datenbank/Webserver

S

Svän

New Member
Hallo zusammen,
am 17. Dezember wurde meine MariaDB-Datenbank auf meinem AlmaLinux mit VERSION="9.7 (Moss Jungle Cat)" gelöscht.
Der Angreifer hat folgende Nachricht als Eintrag in der Datenbank hinterlassen:

Dear Sir/Madam, We hope this message finds you well. We would like to let you know that we created a backup of your databases/tables (we keep them for 60 days and then permanently delete them). We offer you our recover service: if you want to recover your corrupted or incomplete databases/tables, simply transfer 1300 USD in Bitcoin to this address: xxxxxxxxxxxxxxxxxxxxx - This address is assigned to your database credentials (host + user). We will know when you have paid. After payment confirmation, our program will restore the entire databases/tables automatically, so please do not change your database login details and make sure the database is still accessible from outside the local network. Don not worry. All your databases and tables will be restored. (If the restore fails the current field will be modified and provide links for you to download your datas). If you do not wish to use our service, please ignore this message. Thank you for your time and consideration. Go ...

Da dies mein erster aufgesetzer Server war habe ich mich nur an die klassischen Sicherheitsmaßnahmen gehalten. Also starke Passwörter und versucht unnötige Ports zu schließen.
Ich wollte fragen, ob jemand ein ähnliches Problem hatte und wie man herausfinden kann, wie er sich Zugriff verschafft hat.
 
"In der Datenbank hinterlassen"? Also als "Zeile" oder Wert in einer Spalte in einer der Tabellen? Oder wo / wie siehst Du die Meldung?

herausfinden - kommt drauf an, wie gut der Angreifer war. Wenn er alle Hinweise gelöscht hat wird's ohne sep. Logging-System schwer bis unmöglich. Also mal die Logs prüfen, ob Du da was findest.

Für mehr Tipps bräuchte man noch mehr Infos - also was alles auf dem System läuft (nur DB? Oder auch Webanwendungen?)...
 
Danke für die Rückmeldung.
Die Meldung war als Wert drinnen in einer der Spalten der Tabelle von MariaDB. Deswegen ist meine Vermutung dass er jetzt eigentlich keinen Account mit Sudo Rechten hatte, ansonsten hätte er wohl deutlich mehr machen können als die Datenbank zu löschen und einen neuen Eintrag hineinzutun. Als Logs habe ich leider nurnoch die von MariaDB, den SSH Verbindungen, Grafana und die Bash_History beider Sudo Accounts.

Also die Installierten Dienste waren:
- Apache
- MariaDB
- Webmin
- Grafana
- AwStats

Seit dem Vorfall bin ich nun schon ein Stück schlauer was man alles beachten soll, aber dachte vielleicht hatte ja jemand die selbe Situation wie ich.
Bin aber für jeden Tipp dankbar :)
 
als erstes solltest Du herausfinden, wie er "reingekommen" ist - direkt über die DB, eine dagegen laufende Webanwendung, ...
 
Ja, war auch online erreichbar. Gut möglich, dass das der Fehler war. Fürs Neuaufsetzen schaue ich jetzt, dass ich den Port ändere und sie nur noch lokal erreichbar ist.
 
Eine Port-Änderung hilft nur wenig. Wenn es jemand auf deine Datenbank abgesehen hat, wird er auch den geänderten Port finden. Sofern du nicht extern auf die Datenbank zugreifen musst, konfiguriere MariaDB so, dass es nur auf localhost lauscht. Wenn du den externen Zugriff benötigst, schränke ich per Firewall ein, dass der Port nur von den IPs erreichbar ist, die auch wirklich Zugriff benötigen.
Sofern du für die Datenbank sichere Passwörter verwendet hast, würde ich weiterhin auf eine anfällige Web-Anwendung tippen - sorge dafür dass alle Webanwendungen auf dem aktuellen Stand sind, das gleiche gilt auch für die Plugins (z.B. bei Wordpress). Prüfe auch, ob die Webanwendungen und Plugins noch aktiv gepflegt werden und schaue dich ggfl. nach Alternativen um oder prüfe, ob du nicht darauf verzichten kannst. Und sorge dafür, dass du immer zeitnah die Updates installierst. Außerdem natürlich "Least Priviledge" und "Priviledge separation" - d.h. eine Webanwendung bekommt nur die absolut notwendigen Rechte auf ihre Datenbank und keine anderen und bei mehreren Anwendungen ggfl. getrennte Datenbanken und User.
 
Vielen Dank für die vielen hilfreichen Tipps. Dann hoffe ich, dass beim zweiten Anlauf nun nicht noch einmal so etwas passiert :)
 
Almalinux 9.7 ist recht neu, damit ist auch das Risiko sehr niedrig dass die aktive MariaDB Instanz eine gravierende Sicherheitslücke hat welche vergessen wurde zu patchen. Somit bleiben folgende wahrscheinliche Ursachen:
- nicht abgeschlossene Installation (wurde mysql_secure_installation ausgeführt? Ich gehe mal davon aus das appliziert auch unter AlmaLinux9.7 noch immer)
- falsch konfigurierte Accounts. Gerne kommt es vor dass Applikationen oder Werkzeuge Konten mit Any-host (%) anlegen aber ein extrem schwaches oder Standard-Passwort wählen.
- dein Passwort war nicht sicher
- das Passwort wurde über Password Stealer von deinem Rechner gestohlen (halte ich hier für unwahrscheinlich)

Eine welt-offene Mysql/MariaDB Instanz ist per se kein Sicherheitsloch. Es ist aber ein potentielles SIcherheitsrisiko. Wenn dies eOption nicht gebraucht wird, schliessen.
 
You must log in or register to reply here.
Back
Top