一次数据库被删库勒索的经历

一个朋友在某论坛发贴付费求助系统部署。之后因某些原因(据说借钱未果),数据库老是被删除。

朋友系统环境为Windows下的PHP + MySQL + Apache,使用的是一个xxx的套件。 

起初使用备份恢复,系统可以正常运行,但是不久之后发现被删除了。 

然后进行加固,系统层面封锁,变更帐号;MySQL层面删除异常帐号,只保留本机登录。

最开始程序是通过root帐号连接库的,后来表示说技术不在了,不确定配置文件在何处,有那些地方需要调整
因此无法变更此帐号以及密码,只能尝试其它的方法。

原以为这样就可以了,后来发现恢复后还是被删除。

后来尝试新建mysql帐号,限制权限之后,再次恢复之后,发现对方只能delete数据表,无法删除库。
想到可能是原操作者是通过PHP后门页进行库删除操作。先查杀病毒,发现很多PHP SHELL类似的病毒木马。

之后查看apache访问日志,发现日志竟然被关闭了。 
打开apache访问日志后,发现一个IP在持续访问某一页面,这个页面是通过接受POST数据进行一系列处理。 

程序自身会使用这个页面进行业务操作,页面自身也对post数据进行了加密处理。

理念上,如果不熟悉这个页面的加解密逻辑,是无法进行发送post删库处理的。 

先对apache做IP限制访问配置,之后在php页面中添加代码,提取post请求解密后的操作,输出文件,保留证据。

最后在页面中添加PHP代码,对解析后的SQL进行过滤处理。系统暂时得以运行。

后续由朋友技术做后期代码调整。


以前只是近说过有这种事,没有经历过,想不到真的还存在这样的人。这次据说是损失几万,客户丢了,还窝火。

保护好系统,不要让不熟悉的人触碰。

--鸽子--