数据库是黑客专用的矿机吗？

2016年是勒索软件猖獗的一年，而2017年，随着电子货币价格的不断上涨，“挖矿”成了黑客的新宠。

黑客大多使用“肉鸡”（受控计算机）来挖掘并赚取电子货币以获取利润（比特币、门罗币等）。据统计，2017年，黑客组织Hidden仅用肉鸡挖了2010个门罗币，折合61万美元。可以想象，2017年，黑客通过挖矿获得的净利润可能会达到100万美元以上。

虽然“挖矿”并不像勒索软件那样直接导致受害者遭受数据丢失。但它会悄悄潜伏在受害者的机器中，利用机器资源任意进行挖矿活动，导致电脑卡顿、变慢，甚至死机，直接影响用户体验。

“采矿”由于机构的原因，对机器的性能有相当的要求。同时，黑客攻击的目标主要集中在允许访问外网的服务器上。因此，各种云上的RDS和ECS服务器成为黑客的优先攻击目标。黑客攻击成功后，将挖矿程序部署在服务器上。恶意占用受害者服务器资源，为自己赚取电子货币。

本文将向大家介绍什么是“挖矿”，以及常见黑客服务器部署挖矿程序的全过程，最后给出如何抵御黑客攻击的建议。

矿业

黑客为什么要挖矿？这与电子货币系统密切相关。电子货币发行的过程可以简单地看成是挖矿的过程。电子货币是无国界的，所以它不依赖于某个政府来发行。它是在电子货币系统中发行的。“矿工”使用特殊的软件来解决数学问题。作为他们工作量的回报，“矿工”可以获得电子货币系统新生成的特定数量的电子货币。

以比特币为例，比特币网络中每10​​分钟就会产生一个新的区块，这个新产生的区块将包含三个内容：

第一类：最近10分钟内产生的所有比特币交易记录。比特币使用 P2P 机制。所有的交易记录都会出现在每个人的账单上。每隔 10 分钟，比特币产生的新区块就会记录每个人的交易信息。

第二类：块锁。对于每个区块中数学谜题的答案，第一个通过哈希等复杂运算与答案碰撞的“矿工”将获得相应的比特币奖励。采矿对机器的性能有一定的要求。数据库服务器的性能普遍较高，因此黑客更愿意花费精力将数据库服务器捕获为矿机。

第 3 类：第一个解锁区块的矿工获得奖励。电子货币的发行机制倾向于将最大部分的奖励给予第一个解决数学难题的人。

恶意挖矿程序

电子货币机制的初衷是为了吸引更多的个人对系统进行投资，建立矿工工作奖励机制。因此，社会上会有更多的人愿意为电子货币的网络系统提供个人电脑计算能力，随着电子货币价值的提升，会有更多的人加入其中进行挖矿。

普通矿机自愿加入电子货币网络系统，为电子货币提供算力，然后根据自己的算力贡献能力从中获取收益。但恶意程序是未经授权被植入受害者服务器中，窃取受害者个人电脑的计算能力，为黑客牟利的挖矿程序。

矿机的选择

黑客经常选择入侵数据库服务器将其变成矿机，因为数据库服务器具有以下适合矿机的特性：

1. 有明确的入侵通道

如果云上的数据库服务器没有配置，则开启外网IP，任何知道IP的人都可以访问服务器。数据库安装使用固定端口，黑客使用脚本进行批量攻击。除了利用数据库漏洞外，最常见的方法是暴力破解密码。一些云数据库服务有一组默认的用户名和密码，黑客可能会利用这些用户名和密码来渗透数据库。

2. 有一定的性能保证

数据库服务器性能一般不会太低。矿工的收益与机器的性能密切相关，因此可以通过入侵数据库服务器部署挖矿程序来保证执行性能。

3. 可以执行系统命令并具有一定的权限

数据库服务器被入侵后，大部分数据库在修改一些配置后就可以对操作系统上的文件进行操作，甚至可以执行操作系统命令，为下载挖矿工具和一些守护进程提供了可能和权限。

4. 创建稳定的链接

数据库被入侵后，黑客可以创建自己的数据库后门（数据库账号和密码），从而可以长期控制数据库和数据库服务器作为自己的矿机。

5. 隐蔽性好

矿工运行时服务器压力会激增。当数据库服务器的压力在某个时期增加时黑客会挖比特币吗，人们不会立即认为是矿机造成的，而是会在错误的方向上花很多力气，从而减慢矿机被发现的时间并赚取更多利润。

黑客进程跟踪

在了解了黑客选择数据库服务器作为主要入侵目标之后，我们进一步了解黑客是如何一步步把你的数据库变成他的矿机的。黑客从入侵到完成矿机部署分为以下5个步骤：

1、扫描以识别企图入侵的目标

黑客一般不会扫描整个网段，而是根据某个随机值扫描一个网段的选定部分，并使用TCP_SYN进行扫描。TCP_SYN扫描只发送SYN包，通过打开端口响应SYN&ACK包，关闭端口时响应RST包判断端口是否存在。这种方法虽然有一定的偏差，但可以有效地隐藏黑客的扫描行为。暂时发现黑客最关心的端口是1433（SQLServer）和3306（MySQL），扫描后生成IP和端口列表。

2、暴力破解数据库

黑客扫描后，生成的列表将被发送到 C&C 服务器。开始配置密码字典，用于对扫描到的端口进行爆破。进行暴力破解时，会使用多只已经捕获的肉鸡，并分时段、分批次进行暴力破解。如果密码破解成功，则登录数据库，为下一次攻击做准备。

3、部署数据库后门

黑客成功登录数据库后，首先会尝试在数据库中部署后门，以使数据库在未来能够长期稳定使用。

黑客经常使用一些特定的操作来创建后门用户或修改已知的用户密码。

请注意，如果您的数据库中存在任何帐号 hanako、kisadminnew1、401hk$、guest、Huazhongdiguo110。很有可能你的数据库服务器被某个黑客组织植入了矿机。

4、使用数据库下载挖矿程序

由于操作需要用到一些存储过程黑客会挖比特币吗，所以整个过程分为两个阶段。第一阶段准备环境并修改数据库配置。第二阶段是下载工具。准备环境的第一阶段是让数据库具备执行shell的能力。最常见的是使用 xp_cmdshell 来执行 shell。

1)恢复xp_cmdshell

2)打开禁用的 xp_cmdshell

也有使用 SP_OACreate 执行的 shell

3)使用 SQL Server CLR 执行 shell

环境部署完成后即可使用数据库调用shell进入第二阶段下载挖矿工具

4)第二阶段下载挖矿工具

使用shell向C&C服务器发起请求，下载挖矿工具。

5、部署挖矿程序开始挖矿

使用数据库完成一系列配置文件的创建和编写后，开始调用挖矿程序进行挖矿。

安全解决方案

归根结底，整个数据库入侵过程主要是由于数据库密码较弱和数据库安全配置不足造成的。云上的数据库虽然部署方便，使用快捷，但在部署过程中难免会出现一些考虑不周的安全考虑，给不法分子带来可乘之机。

黑客主要针对Windows和Linux系统的数据库服务。如果可以控制可以访问数据库的机器，就可以有效避免此类攻击。通过数据库防火墙或网络防火墙等设备的严格控制，可以访问默认服务器的IP。因此，有必要经常检查有权访问数据库的设备列表，并将此列表保持在最低限度。白名单策略，应阻止和调查从不在列表中的 IP 或域连接到数据库的所有尝试。

本文来自中国大数据