超过 360 万台MySQL 服务器暴露在互联网中

作者: admin 分类: 公众号存档            7 次浏览 发布时间: 2022-06-05 09:33

公众号:杨建荣的学习笔记 · 作者:杨建荣 · 发布:2022-06-05 09:33:23 · 原文链接

  

翻译稿(文末有原文链接)网络安全研究组织最近开始在端口 3306/TCP 上扫描可访问的MySQL服务器实例。惊讶的是,发现大约230 万个 IPv4地址响应了扫描请求。更令人惊讶的是,发现超过130 万台 IPv6设备也做出了响应。

所以,IPv4 和 IPv6 扫描一共发现了全球360 万个可访问的 MySQL 服务器。

虽然不检查可能的访问级别或特定数据库的暴露程度,但这种风险是应该提前规避,从而避免更大的损失。

扫描方式

通过在端口3306/TCP上发出 MySQL 连接请求并收集以MySQL Server Greeting响应的服务器响应来进行扫描。这包括 TLS 和非 TLS 响应。不会执行任何侵入性检查来发现对任何可能的数据库的访问级别。

除了所有 IPv4 空间外,还根据从各种来源收集的命中列表扫描 IPv6。

可以使用nmap mysql-info 扫描复制查询: https ://nmap.org/nsedoc/scripts/mysql-info.html

结果

找到的 MySQL 总数(即包括拒绝连接的那些 – er_host_not_privileged – 和那些允许连接的):

IPv4:发现端口 3306/TCP 上的 MySQL 服务器总数为3,957,457(从 2022 年 5 月 26 日开始扫描)。

IPv6:(命中列表基础扫描):发现在端口 3306/TCP 上响应的 MySQL 服务器总数为1,421、010(从 2022 年 5 月 26 日开始扫描)。

找到的可访问 MySQL 服务器总数(即那些允许连接并以服务器问候语响应的服务器):

IPv4:发现2,279,908 台MySQL 服务器在端口 3306/TCP 上响应服务器问候语(从 2022 年 5 月 26 日开始扫描)。

1,117,659 支持 TLS,1,163,249 不支持。

IPv6:在端口 3306/TCP 上发现1,343,993 个MySQL 服务器响应服务器问候语(从 2022 年 5 月 26 日开始扫描)。

38,198 支持 TLS,1,307,795 不支持。

总体而言,发现的所有 MySQL 服务中有67%可以从 Internet 访问(IPv4 和 IPv6)。

可访问的 IPv4 MySQL 服务器国家/地区细分

按国家/地区划分的最可访问的 IPv4 MySQL 服务器如下:美国 (740.1K)、中国 (296.3K)、波兰 (207.8K) 和德国 (174.9K)。

通过唯一 IPv4 访问 MySQL 服务器 (2022-05-26)

按唯一 IPv4 划分的可访问 MySQL 服务器的国家级细分 (2022-05-26)

可访问的 IPv6 MySQL 服务器国家/地区细分

按国家/地区划分的最可访问的 IPv6 MySQL 服务器如下:美国 (460.8K)、荷兰 (296.3K)、新加坡 (218.2K) 和德国 (173.7K)。

通过唯一 IPv6 访问 MySQL 服务器 (2022-05-26)

按唯一 IPv6 划分的可访问 MySQL 服务器的国家级细分 (2022-05-26)

请注意,对于 IPv6,绝大多数都在单个 AS 中。

MySQL Top 10 IPv4 版本明细:

版本 数量
5.7.33-36 150600
5.6.41-84.1 92834
5.7.23-23 69627
5.7.38-0ubuntu0.18.04.1 59333
5.6.51-cll-lve 58825
8.0.23 57148
5.5.68-mariadb 55401
5.6.50-日志 54574
5.5.5-10.1.48-mariadb 40853
5.7.33-日志 35809

MySQL IPv6 版本明细:

版本 数量
5.5.5-10.5.12-mariadb-cll-lve 908128
5.7.37-40-日志 147072
5.5.5-10.5.13-mariadb-cll-lve 125320
5.5.5-10.5.15-mariadb-cll-lve 72856
8.0.27-18 20838
5.5.5-10.3.32-mariadb-log 11121
5.7.35-38 6640
5.5.5-10.5.15-mariadb-cll-lve-log 3435
5.7.23-cll-lve 2085
5.7.33-cll-lve 1993

控制风险

对大多数业务来说,不太可能需要让 MySQL 服务器允许来自 Internet 的外部连接(因此可能存在外部攻击)。如果确实收到有关网络/选区的报告,请采取措施过滤到 MySQL 实例的流量,并确保在服务器上实施身份验证。

MySQL 有一个MySQL 5.7 Secure Deployment Guide和  MySQL 8.0 Secure Deployment Guide。

各大平台都可以找到我

  • 微信公众号:杨建荣的学习笔记

  • Github:@jeanron100

  • CSDN:@jeanron100

  • 知乎:@jeanron100

  • 头条号:@杨建荣的学习笔记

  • 网易号:@杨建荣的数据库笔记

  • 大鱼号:@杨建荣的数据库笔记

  • 腾讯云+社区:@杨建荣的学习笔记

QQ群号:763628645

QQ群二维码如下, 添加请注明:姓名+地区+职位,否则不予通过

在看,让更多人看到

admin

杨建荣,《Oracle DBA工作笔记》《MySQL DBA工作笔记》作者,dbaplus社群发起人之一,腾讯云TVP,现任竞技世界系统部经理,拥有十多年数据库开发和运维经验,目前专注于开源技术、运维自动化和性能调优

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注