พบเซิร์ฟเวอร์ MySQL 3.6 ล้านเครื่องเชื่อมต่ออินเทอร์เน็ตโดยตรง ไทยมีราว 1 หมื่นเครื่อง

By mk Founder on Tag: MySQL, Security, Database
MySQL

Shadowserver Foundation หน่วยงานไม่หวังผลกำไรด้านความปลอดภัยไซเบอร์ ทดลองสแกนพอร์ต MySQL ของทั้งโลก (ตรวจสอบเฉพาะพอร์ต 3306/TCP ที่เป็นค่าดีฟอลต์) และพบว่ามีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ (accessible คือตอบสถานะกลับมา แต่ไม่ได้ลองล็อกอิน) จำนวน 3.6 ล้านเครื่อง แบ่งเป็น IPv4 2.3 ล้านเครื่อง และ IPv6 อีก 1.3 ล้านเครื่อง

หากดูตัวเลขแยกรายประเทศ เอาเฉพาะ IPv4 สหรัฐอเมริกามีเซิร์ฟเวอร์ MySQL ถูกเข้าถึงได้มากที่สุด 7.4 แสนเครื่อง ตามด้วยจีน 2.96 แสนเครื่อง ส่วนประเทศไทยก็อยู่ในอันดับต้นๆ คือมี 1 หมื่นเครื่อง ถ้าดูของ IPv6 สหรัฐอเมริกามี 4.6 แสนเครื่อง เนเธอร์แลนด์ 2.96 แสนเครื่อง และสิงคโปร์ 2.18 แสนเครื่อง (ไทยมี 136 เครื่อง IPv6)

Shadowserver Foundation บอกว่าตามปกติแล้วคงไม่ค่อยมีใครตั้งเซิร์ฟเวอร์ MySQL เพื่อรอการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง แปลว่าเครื่องจำนวน 3.6 ล้านเครื่องนี้ถูกละเลยเครื่องความปลอดภัย และมีความเสี่ยงสูงที่จะถูกโจมตีได้ ทางมูลนิธิจึงแนะนำให้แอดมิน MySQL เร่งเพิ่มมาตรการความปลอดภัย เช่น คัดกรองทราฟฟิกที่เข้าถึงได้ หรือเพิ่มระบบยืนยันตัวตนที่แข็งแกร่งขึ้น

ที่มา - Shadowserver Foundation

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

lew Fri, 03/06/2022 - 00:38

ปิด password login + fail2ban เอาไว้ ความเสี่ยงน่าจะแทบหมดนะครับ ช่องโหว่ก่อนล็อกอินนี่แทบไม่ค่อยเห็นเท่าไหร่ (แต่เปิด auto update อีกชั้นก็ดี)

rattananen Fri, 03/06/2022 - 10:30

บางทีมันก็ติดปัญหาที่ไม่ใช่เทคนิคครับ
เช่น อย่าง server ทีผมใช้เป็นแบบ self host ซื้อ hardware, software, support ให้ provider ดูแลให้
ทำให้ผมไม่รู้ด้วยซ้ำว่าใครใช้ user อะไรบ้าง
อยากจะปิด password access ก็คุยกันไม่ค่อยรู้เรื่อง ไม่ได้ native English ทั้งคู่และ English เขาห่วยกว่าผมอีก
ทุกวันนี้ก็ยังโดน brute force อยู่
จะเปลี่ยน port ก็ไม่ช่วยอะไร มันก็ scan จนหาเจอ
แต่ยังดีที่มี fail2ban ก็พอช่วยได้

lew Fri, 03/06/2022 - 21:59

เท่าที่เห็นเวลาเจอเคสแบบนี้ (ซึ่งแฟร์ๆ มันก็มีเรื่อยๆ จริงๆ เห็นบางที่ยัง deploy app ผ่าน FTP อยู่) ที่เจอคือบังคับ lock source IP เลย

ใช้เงินแก้ปัญหา บังคับ vendor ซื้อ public IP ซึ่งดันทำกันได้แฮะ.. ทำไมมันง่ายกว่าฝึกให้ใช้ scp + key login ไม่รู้

hisoft Fri, 03/06/2022 - 00:01

IPv6 นี่เค้าไปสแกนหาด้วยท่าไหนถึงเจอเยอะได้ขนาดนั้นนะครับ 😨

อัปเดต - ตอบตัวเอง

Aside from all of IPv4 space, we also scan IPv6 based on hitlists collected from various sources.

IPv4: we find a total population of MySQL servers on port 3306/TCP to be 3,957,457 (scan from 2022-05-26).
IPv6: (hitlist bases scanning): we find a total population of MySQL servers responding on port 3306/TCP to be 1,421, 010 (scan from 2022-05-26).

b98se Fri, 03/06/2022 - 11:35

ไม่ว่างครับ กำลังเขียนรายงานโครงการ กับตรวจรับพัสดุ ถ้าไม่รีบเคลียร์ อีก ๒ เดือน จะเจองานกำหนดราคากลางกับตรวจรับอีกล็อตใหญ่

ทั้งนี้ เรื่องการวางระบบ จะขออนุมัติจัดจ้างตรวจสอบและปรับปรุงระบบต่อไป

อนึ่ง การจัดซื้อครุภัณฑ์คอมพิวเตอร์ ต้องเขียนโครงการเพื่อขออนุมัติจาก CIO ระดับกระทรวง หากไม่สามารถดำเนินการได้ตามห่วงเวลา งบประมาณอาจตกไป ซึ่งเป็นความบกพร่องของผู้ปฏิบัติ

จึงเรียนมาเพื่อโปรดทราบ

icez Fri, 03/06/2022 - 14:18

mysql มันมี password login แต่แรกอยู่แล้ว ความเสี่ยงก็จะเหลือแค่เรื่องรหัสผ่านรั่ว/bruteforce ... ซึ่งก็ไม่น้อยอยู่ดี 555

ix168xi Sun, 05/06/2022 - 23:06

ตามปกติแล้วคงไม่ค่อยมีใครตั้งเซิร์ฟเวอร์ MySQL เพื่อรอการเชื่อมต่อจากอินเทอร์เน็ตโดยตรง

อันนี้หมายถึง
เครื่อง Server ที่ลง Database สามารถเข้าออกเน็ตได้หรอครับ?
หรือผมเข้าใจอะไรผิดถูกบ้างครับ?
วาลผู้รู้ช่วยตอบหน่อยนะครับ
จะได้แก้ไขถูก ขอบคุณครับ

McKay Mon, 06/06/2022 - 04:57

คือปกติทั่วไปมักจะ listening จาก loopback 127.0.0.1(default) กันหน่ะครับ หรืออย่างมากก็ listening จาก local/private ip เช่น 172.16.x, 10.10.x หรือ 198.168.x

ส่วนกรณีตามข่าวคือเปิด listening จาก all ip(0.0.0.0) เลย ดังนั้น public ip จาก internet สามารถเข้ามาเชื่อมต่อได้ครับ

ส่วนการเช็คให้เช็คว่า bind-address ใน config เป็นค่าอะไรครับ