Segurança MYSQL

Infraestrutura Banco de Dados
#1

Ola, tenho um banco de dados Mysql hospedado no meu próprio computador, e abri as portas no modem para poder acessar o banco em outro local de trabalho, até então meu banco de dados estava com usuário root sem senha. Até então não tinha me preocupado com isso pois se trata de um projeto somente meu e estou trabalhando em um portifólio…

Após alguns dias de uso percebi que meu DB sumiu, achei que meu código java tinha dropado o DB sem querer em alguma linha mal digitada, então fui la e recriei o DB…
Mas hoje me deparei com a seguinte mensagem::

Hello,

Your MySQL server(version 10.3.16-MariaDB-log), database
was hacked and files removed.

We have full database dump, created with mysql mydumper.

To download the dump file and restore the database:

please send exactly 0.1 bitcoin (BTC) to the following 
bitcoin address: 1LYpSpoeCBGt8Xr5hERf3KJ55nMTgrxcHm

after payment complete email Linus.RedAlert@pm.me the transaction details,
we reply with download link and remove all the dump files.

  • please copy/paste this incident ID in email subject line

If you dont need your database we sell it for private information,
your customers will be alert:

  • the short-term consequences of this data leak could be fees, fines and frustration(reputation losses, …),
  • the long term consequences could be devastating(class action lawsuit, …).

email: Linus.RedAlert@pm.me
incidentId: 727aff7d-04b6-44a3-8dfc-312f7a6fe839

  • please copy/paste this incident ID in email subject line
  • you can also email to verify the data dump

#########################
Essa mensagem foi deixada em uma tabela contendo duas colunas, e todo o resto do DB foi dropado.

Claro que não vou pagar nada, mas me ficou uma duvida na cabeça, como alguem conseguiu fazer essa proeza?
Afinal é preciso ter o ip para poder “achar” minha database.
Será que é algum tipo de ataque de força bruta testando todas as combinações possíveis de ip e tentando achar algo?

ou sera que foi algum tipo de virus?

Logo após o incidente coloquei uma senha de 66 caracteres bem aleatórios incluindo numeros, letras Maiusculas e minusculas.

Notei também que foram criados muitos usuários com acesso “USAGE” e não consigo remove-los.

removi todos os usuários root sem senha…

Qual seria o procedimento de tornar meu banco de dados seguro a esse tipo de ataque?
Obrigado.

#2

Nao sei qual seu objetivo com isso, mas voce nunca deve expor a porta do banco pra internet. O banco tem que ficar acessível somente na sua rede privada e ter algum tipo de web service no meio pra acessar esses dados.

1 curtida