พบเซิร์ฟเวอร์ MySQL 3.6 ล้านเครื่องเชื่อมต่ออินเทอร์เน็ตโดยตรง ไทยมีราว 1 หมื่นเครื่อง

By: mk

on 2 June 2022 - 20:19 Tags:

Topics:

MySQL

Security

Database

Shadowserver Foundation หน่วยงานไม่หวังผลกำไรด้านความปลอดภัยไซเบอร์ ทดลองสแกนพอร์ต MySQL ของทั้งโลก (ตรวจสอบเฉพาะพอร์ต 3306/TCP ที่เป็นค่าดีฟอลต์) และพบว่ามีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ (accessible คือตอบสถานะกลับมา แต่ไม่ได้ลองล็อกอิน) จำนวน 3.6 ล้านเครื่อง แบ่งเป็น IPv4 2.3 ล้านเครื่อง และ IPv6 อีก 1.3 ล้านเครื่อง

หากดูตัวเลขแยกรายประเทศ เอาเฉพาะ IPv4 สหรัฐอเมริกามีเซิร์ฟเวอร์ MySQL ถูกเข้าถึงได้มากที่สุด 7.4 แสนเครื่อง ตามด้วยจีน 2.96 แสนเครื่อง ส่วนประเทศไทยก็อยู่ในอันดับต้นๆ คือมี 1 หมื่นเครื่อง ถ้าดูของ IPv6 สหรัฐอเมริกามี 4.6 แสนเครื่อง เนเธอร์แลนด์ 2.96 แสนเครื่อง และสิงคโปร์ 2.18 แสนเครื่อง (ไทยมี 136 เครื่อง IPv6)

Shadowserver Foundation บอกว่าตามปกติแล้วคงไม่ค่อยมีใครตั้งเซิร์ฟเวอร์ MySQL เพื่อรอการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง แปลว่าเครื่องจำนวน 3.6 ล้านเครื่องนี้ถูกละเลยเครื่องความปลอดภัย และมีความเสี่ยงสูงที่จะถูกโจมตีได้ ทางมูลนิธิจึงแนะนำให้แอดมิน MySQL เร่งเพิ่มมาตรการความปลอดภัย เช่น คัดกรองทราฟฟิกที่เข้าถึงได้ หรือเพิ่มระบบยืนยันตัวตนที่แข็งแกร่งขึ้น

ที่มา - Shadowserver Foundation

No Description

Hiring! บริษัทที่น่าสนใจ

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Thai Credit Guarantee Corporation (TCG)

เป็นศูนย์กลางเชื่อมโยงเงินทุนและโอกาสให้แก่ SMEs เพื่อการเติบโตอย่างยั่งยืน (SMEs’ Gateway)

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

Comments

By: rattananen

on 2 June 2022 - 21:55 #1250777

port 3306 นี้ไม่เท่าไรport 22 นี้น่ากลัวกว่า

By: lew

on 3 June 2022 - 00:38 #1250788 Reply to:1250777

ปิด password login + fail2ban เอาไว้ ความเสี่ยงน่าจะแทบหมดนะครับ ช่องโหว่ก่อนล็อกอินนี่แทบไม่ค่อยเห็นเท่าไหร่ (แต่เปิด auto update อีกชั้นก็ดี)

lewcpe.com , @wasonliw

By: rattananen

on 3 June 2022 - 10:30 #1250808 Reply to:1250788

บางทีมันก็ติดปัญหาที่ไม่ใช่เทคนิคครับ
เช่น อย่าง server ทีผมใช้เป็นแบบ self host ซื้อ hardware, software, support ให้ provider ดูแลให้
ทำให้ผมไม่รู้ด้วยซ้ำว่าใครใช้ user อะไรบ้าง
อยากจะปิด password access ก็คุยกันไม่ค่อยรู้เรื่อง ไม่ได้ native English ทั้งคู่และ English เขาห่วยกว่าผมอีก
ทุกวันนี้ก็ยังโดน brute force อยู่
จะเปลี่ยน port ก็ไม่ช่วยอะไร มันก็ scan จนหาเจอ
แต่ยังดีที่มี fail2ban ก็พอช่วยได้

By: lew

on 3 June 2022 - 21:59 #1250848 Reply to:1250808

เท่าที่เห็นเวลาเจอเคสแบบนี้ (ซึ่งแฟร์ๆ มันก็มีเรื่อยๆ จริงๆ เห็นบางที่ยัง deploy app ผ่าน FTP อยู่) ที่เจอคือบังคับ lock source IP เลย

ใช้เงินแก้ปัญหา บังคับ vendor ซื้อ public IP ซึ่งดันทำกันได้แฮะ.. ทำไมมันง่ายกว่าฝึกให้ใช้ scp + key login ไม่รู้

lewcpe.com , @wasonliw

By: deaknaew on 2 June 2022 - 23:47 #1250784

ปกติเอาไว้เทส data บน server กรณีเช่า host

By: hisoft

on 3 June 2022 - 00:01 #1250786

IPv6 นี่เค้าไปสแกนหาด้วยท่าไหนถึงเจอเยอะได้ขนาดนั้นนะครับ 😨

อัปเดต - ตอบตัวเอง

Aside from all of IPv4 space, we also scan IPv6 based on hitlists collected from various sources.

IPv4: we find a total population of MySQL servers on port 3306/TCP to be 3,957,457 (scan from 2022-05-26).IPv6: (hitlist bases scanning): we find a total population of MySQL servers responding on port 3306/TCP to be 1,421, 010 (scan from 2022-05-26).

By: shikima

on 3 June 2022 - 00:28 #1250787

เปิดไว้เวลา dev ครับ พอ golive ย้าย server ไปที่อื่น แล้วกำหนด ip ที่เข้าได้เอา

By: audy

on 3 June 2022 - 06:32 #1250798

ทำไมไม่ใช้ Private IP กันนะหรืออย่างน้อยก็ ssh tunnel เถอะ

By: Architec

on 3 June 2022 - 06:41 #1250799

นวก.คอมว่าไงครับ ออกมา defend ตัวเองบ้างว่าวางระบบยังไง

By: b98se

on 3 June 2022 - 11:35 #1250812 Reply to:1250799

ไม่ว่างครับ กำลังเขียนรายงานโครงการ กับตรวจรับพัสดุ ถ้าไม่รีบเคลียร์ อีก ๒ เดือน จะเจองานกำหนดราคากลางกับตรวจรับอีกล็อตใหญ่

ทั้งนี้ เรื่องการวางระบบ จะขออนุมัติจัดจ้างตรวจสอบและปรับปรุงระบบต่อไป

อนึ่ง การจัดซื้อครุภัณฑ์คอมพิวเตอร์ ต้องเขียนโครงการเพื่อขออนุมัติจาก CIO ระดับกระทรวง หากไม่สามารถดำเนินการได้ตามห่วงเวลา งบประมาณอาจตกไป ซึ่งเป็นความบกพร่องของผู้ปฏิบัติ

จึงเรียนมาเพื่อโปรดทราบ

By: blackdoor on 3 June 2022 - 13:11 #1250831

เปิด Remote ผ่าน Public IP สินะ

By: icez

on 3 June 2022 - 14:18 #1250832

mysql มันมี password login แต่แรกอยู่แล้ว ความเสี่ยงก็จะเหลือแค่เรื่องรหัสผ่านรั่ว/bruteforce ... ซึ่งก็ไม่น้อยอยู่ดี 555

By: lew

on 3 June 2022 - 21:56 #1250847 Reply to:1250832

ไล่ password ตาม tutorial ยอดนิยมทั้งหลาย น่าจะได้เกิน 25%

lewcpe.com , @wasonliw

By: ix168xi on 5 June 2022 - 23:06 #1250940

ตามปกติแล้วคงไม่ค่อยมีใครตั้งเซิร์ฟเวอร์ MySQL เพื่อรอการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง

อันนี้หมายถึง
เครื่อง Server ที่ลง Database สามารถเข้าออกเน็ตได้หรอครับ?
หรือผมเข้าใจอะไรผิดถูกบ้างครับ?
วาลผู้รู้ช่วยตอบหน่อยนะครับ
จะได้แก้ไขถูก ขอบคุณครับ

By: McKay

on 6 June 2022 - 04:57 #1250950 Reply to:1250940

คือปกติทั่วไปมักจะ listening จาก loopback 127.0.0.1(default) กันหน่ะครับ หรืออย่างมากก็ listening จาก local/private ip เช่น 172.16.x, 10.10.x หรือ 198.168.x

ส่วนกรณีตามข่าวคือเปิด listening จาก all ip(0.0.0.0) เลย ดังนั้น public ip จาก internet สามารถเข้ามาเชื่อมต่อได้ครับ

ส่วนการเช็คให้เช็คว่า bind-address ใน config เป็นค่าอะไรครับ

Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)