入侵流程:登录mysql - 扫描端口-上传病毒-加密数据库-上传勒索信息。
2020年3月14日 00:25:21
对方开始远程登录mysql至4月10日,共登录次数7次。由于当时有远程数据库连接需求所以当时将3306端口对外开放了。由于数据库有加密,未造成损失!
上图可见4月10日前一直都登录数据库 共登录了7次
2020年4月11日
业务需求开了一个端口2375用于远程同步镜像没有限制IP,于当日被黑客利用该端口作脚本推送入口 并且成功上传多个自执行病毒脚本,下载各种文件各种病毒
那个禽兽,把我数据库删了留下了 warning:警告
进入该数据库里面有一个表
大致意思是要0.06个比特币,给我10天时间,
0.06比特币==3000元人民币!!
恢复:
1、关闭远程数据库端口
2、关闭ssh 22端口另开一个 并且限制登录IP登录
3.服务器快照恢复服务
4.备份数据库恢复
然后晚上通宵等他!