postgresqlがラムサムウェアにやられたようです。対応方法は?
受付中
回答 2
投稿 2017/04/20 12:27
- 評価
- クリップ 4
- VIEW 726
vps上のpostgresqlのdatabaseがすべて書き換えられました。
テーブルはwarningというものだけとなり、
カラムには以下のメッセージが入っていました。
Send 0.5 BTC to this address and go to this site http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be available after payment!
ランラムウェアと思いますが、今ウイルススキャン中です。
データはバックアップに戻すとしても、
そもそも、ラムサムウェアなのか、サーバにログインされて、何かされたのか?
原因の特定ができていないので、
再発が怖くて手がつけれません。
(お客さんがうちの製品のトライアルに使っている環境なので、
リストアしてもまたデータ喪失したら嫌なので、、、)
念のため、サーバのログインパスワードのみを書き換えた状態です。
身に覚えのないリモートアクセスが昨夜、1件ありました。
postgresqlのランサムの事例や、
今回のような問題への対応としてアドバイスを頂ければ幸いです。
-
気になる質問をクリップする
クリップした質問に回答があった場合に通知・メールを受け取ることができます。
クリップした質問はマイページの「クリップ」タブからいつでも見ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
+1
こちらご参照ください。
Postgres DB is hacked!
Database security basics, just been hacked...
CryptoWall 3.0のトラフィック分析 ― ランサムウェアの内部に迫る
wordpressとか攻撃されやすいアプリケーション使ってませんかね。
ちゃんとセキュリティパッチは当てていますか?
あとはインターネット経由でDBにアクセスできるようにしてしまっているとか。
簡単なIDとパスワードにしてしまっているとか。
pg_hba.confを見直すとかしたほうが良いかと思います。
投稿 2017/04/20 16:55
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
以下のような回答は評価を下げられます
- 間違っている回答
- 質問の回答になっていない投稿
- 不快な投稿
評価を下げる際はその理由をコメントに書き込んでください。
0
予期できないことなんてまだまだ沢山あるんでしょうね。
サーバーへの侵入にはすべて明確な理由があります。あなたにとって予期できないことは(失礼ながら)あるでしょうが、「誰にも予期できない」経路はありません。「その脆弱性は知られていなかった」というケース(ゼロデイ脆弱性)はありますが、「ソフトウェアの脆弱性が経路だった」という意味では既知の経路であるわけです。
理論的に可能な経路はいくつかあるのですが、類似事例もあるようですし、攻撃者が狙いそうな経路としては以下が考えられます。
・ssh等OSへのログインが狙われた(パスワードの流出経路は複数考えられます)
・PostgreSQLに外部から接続できる状態で、PostgreSQLのパスワードが破られた
・phpPgAdminなどPostgreSQLの管理ソフトが外部から利用できる状態で、PostgreSQLのパスワードが破られた
・Webアプリケーションに脆弱性があり悪用された
可能性がありそうなものは思い当たりますか?
投稿 2017/04/20 23:30
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
以下のような回答は評価を下げられます
- 間違っている回答
- 質問の回答になっていない投稿
- 不快な投稿
評価を下げる際はその理由をコメントに書き込んでください。
15分調べてもわからないことは、teratailで質問しよう!
92.04%
2017/04/20 17:56
IPは全て受け付けるように設定していました。
DBの設定は直しました。
パスワードは設定ファイルか、私のマシンなどからのアクセス時に抜かれたりするんでしょうね。
サーバよりも自分のマシンが一番の温床じゃないか?気がしてきた。
関連するマシンは一度きれいにした方がいいですよね。。。
2017/04/20 18:28
予期せぬ落とし穴にはまってしまうことがあります。気をつけてください。
2017/04/20 18:40
これからも増えていくんでしょうし。
ありがとうございます。