พบเซิร์ฟเวอร์ MySQL 3.6 ล้านเครื่องเชื่อมต่ออินเทอร์เน็ตโดยตรง ไทยมีราว 1 หมื่นเครื่อง

By: mk
FounderAndroid
on 2 June 2022 - 20:19 Tags:
Topics: 
MySQL
Security
Database
Node Thumbnail

Shadowserver Foundation หน่วยงานไม่หวังผลกำไรด้านความปลอดภัยไซเบอร์ ทดลองสแกนพอร์ต MySQL ของทั้งโลก (ตรวจสอบเฉพาะพอร์ต 3306/TCP ที่เป็นค่าดีฟอลต์) และพบว่ามีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ (accessible คือตอบสถานะกลับมา แต่ไม่ได้ลองล็อกอิน) จำนวน 3.6 ล้านเครื่อง แบ่งเป็น IPv4 2.3 ล้านเครื่อง และ IPv6 อีก 1.3 ล้านเครื่อง

หากดูตัวเลขแยกรายประเทศ เอาเฉพาะ IPv4 สหรัฐอเมริกามีเซิร์ฟเวอร์ MySQL ถูกเข้าถึงได้มากที่สุด 7.4 แสนเครื่อง ตามด้วยจีน 2.96 แสนเครื่อง ส่วนประเทศไทยก็อยู่ในอันดับต้นๆ คือมี 1 หมื่นเครื่อง ถ้าดูของ IPv6 สหรัฐอเมริกามี 4.6 แสนเครื่อง เนเธอร์แลนด์ 2.96 แสนเครื่อง และสิงคโปร์ 2.18 แสนเครื่อง (ไทยมี 136 เครื่อง IPv6)

Shadowserver Foundation บอกว่าตามปกติแล้วคงไม่ค่อยมีใครตั้งเซิร์ฟเวอร์ MySQL เพื่อรอการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง แปลว่าเครื่องจำนวน 3.6 ล้านเครื่องนี้ถูกละเลยเครื่องความปลอดภัย และมีความเสี่ยงสูงที่จะถูกโจมตีได้ ทางมูลนิธิจึงแนะนำให้แอดมิน MySQL เร่งเพิ่มมาตรการความปลอดภัย เช่น คัดกรองทราฟฟิกที่เข้าถึงได้ หรือเพิ่มระบบยืนยันตัวตนที่แข็งแกร่งขึ้น

ที่มา - Shadowserver Foundation

No Description

Get latest news from Blognone

Comments

By: rattananen
AndroidWindows
on 2 June 2022 - 21:55 #1250777

port 3306 นี้ไม่เท่าไร
port 22 นี้น่ากลัวกว่า

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2022 - 00:38 #1250788 Reply to:1250777
lew's picture

ปิด password login + fail2ban เอาไว้ ความเสี่ยงน่าจะแทบหมดนะครับ ช่องโหว่ก่อนล็อกอินนี่แทบไม่ค่อยเห็นเท่าไหร่ (แต่เปิด auto update อีกชั้นก็ดี)

lewcpe.com, @wasonliw

By: rattananen
AndroidWindows
on 3 June 2022 - 10:30 #1250808 Reply to:1250788

บางทีมันก็ติดปัญหาที่ไม่ใช่เทคนิคครับ
เช่น อย่าง server ทีผมใช้เป็นแบบ self host ซื้อ hardware, software, support ให้ provider ดูแลให้
ทำให้ผมไม่รู้ด้วยซ้ำว่าใครใช้ user อะไรบ้าง
อยากจะปิด password access ก็คุยกันไม่ค่อยรู้เรื่อง ไม่ได้ native English ทั้งคู่และ English เขาห่วยกว่าผมอีก
ทุกวันนี้ก็ยังโดน brute force อยู่
จะเปลี่ยน port ก็ไม่ช่วยอะไร มันก็ scan จนหาเจอ
แต่ยังดีที่มี fail2ban ก็พอช่วยได้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2022 - 21:59 #1250848 Reply to:1250808
lew's picture

เท่าที่เห็นเวลาเจอเคสแบบนี้ (ซึ่งแฟร์ๆ มันก็มีเรื่อยๆ จริงๆ เห็นบางที่ยัง deploy app ผ่าน FTP อยู่) ที่เจอคือบังคับ lock source IP เลย

ใช้เงินแก้ปัญหา บังคับ vendor ซื้อ public IP ซึ่งดันทำกันได้แฮะ.. ทำไมมันง่ายกว่าฝึกให้ใช้ scp + key login ไม่รู้

lewcpe.com, @wasonliw

By: deaknaew on 2 June 2022 - 23:47 #1250784

ปกติเอาไว้เทส data บน server กรณีเช่า host

By: hisoft
ContributorWindows PhoneWindows
on 3 June 2022 - 00:01 #1250786
hisoft's picture

IPv6 นี่เค้าไปสแกนหาด้วยท่าไหนถึงเจอเยอะได้ขนาดนั้นนะครับ 😨

อัปเดต - ตอบตัวเอง

Aside from all of IPv4 space, we also scan IPv6 based on hitlists collected from various sources.

IPv4: we find a total population of MySQL servers on port 3306/TCP to be 3,957,457 (scan from 2022-05-26).
IPv6: (hitlist bases scanning): we find a total population of MySQL servers responding on port 3306/TCP to be 1,421, 010 (scan from 2022-05-26).

By: shikima
Windows PhoneAndroidUbuntu
on 3 June 2022 - 00:28 #1250787

เปิดไว้เวลา dev ครับ พอ golive ย้าย server ไปที่อื่น แล้วกำหนด ip ที่เข้าได้เอา

By: audy
AndroidUbuntu
on 3 June 2022 - 06:32 #1250798
audy's picture

ทำไมไม่ใช้ Private IP กันนะ
หรืออย่างน้อยก็ ssh tunnel เถอะ

By: Architec
ContributorWindows PhoneAndroidWindows
on 3 June 2022 - 06:41 #1250799

นวก.คอมว่าไงครับ ออกมา defend ตัวเองบ้างว่าวางระบบยังไง

By: b98se
AndroidWindowsIn Love
on 3 June 2022 - 11:35 #1250812 Reply to:1250799
b98se's picture

ไม่ว่างครับ กำลังเขียนรายงานโครงการ กับตรวจรับพัสดุ ถ้าไม่รีบเคลียร์ อีก ๒ เดือน จะเจองานกำหนดราคากลางกับตรวจรับอีกล็อตใหญ่

ทั้งนี้ เรื่องการวางระบบ จะขออนุมัติจัดจ้างตรวจสอบและปรับปรุงระบบต่อไป

อนึ่ง การจัดซื้อครุภัณฑ์คอมพิวเตอร์ ต้องเขียนโครงการเพื่อขออนุมัติจาก CIO ระดับกระทรวง หากไม่สามารถดำเนินการได้ตามห่วงเวลา งบประมาณอาจตกไป ซึ่งเป็นความบกพร่องของผู้ปฏิบัติ

จึงเรียนมาเพื่อโปรดทราบ

By: blackdoor on 3 June 2022 - 13:11 #1250831
blackdoor's picture

เปิด Remote ผ่าน Public IP สินะ

By: icez
ContributoriPhoneAndroidRed Hat
on 3 June 2022 - 14:18 #1250832

mysql มันมี password login แต่แรกอยู่แล้ว ความเสี่ยงก็จะเหลือแค่เรื่องรหัสผ่านรั่ว/bruteforce ... ซึ่งก็ไม่น้อยอยู่ดี 555

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 June 2022 - 21:56 #1250847 Reply to:1250832
lew's picture

ไล่ password ตาม tutorial ยอดนิยมทั้งหลาย น่าจะได้เกิน 25%

lewcpe.com, @wasonliw

By: ix168xi on 5 June 2022 - 23:06 #1250940

ตามปกติแล้วคงไม่ค่อยมีใครตั้งเซิร์ฟเวอร์ MySQL เพื่อรอการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง

อันนี้หมายถึง
เครื่อง Server ที่ลง Database สามารถเข้าออกเน็ตได้หรอครับ?
หรือผมเข้าใจอะไรผิดถูกบ้างครับ?
วาลผู้รู้ช่วยตอบหน่อยนะครับ
จะได้แก้ไขถูก ขอบคุณครับ

By: McKay
ContributorAndroidWindowsIn Love
on 6 June 2022 - 04:57 #1250950 Reply to:1250940
McKay's picture

คือปกติทั่วไปมักจะ listening จาก loopback 127.0.0.1(default) กันหน่ะครับ หรืออย่างมากก็ listening จาก local/private ip เช่น 172.16.x, 10.10.x หรือ 198.168.x

ส่วนกรณีตามข่าวคือเปิด listening จาก all ip(0.0.0.0) เลย ดังนั้น public ip จาก internet สามารถเข้ามาเชื่อมต่อได้ครับ

ส่วนการเช็คให้เช็คว่า bind-address ใน config เป็นค่าอะไรครับ

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)