数据库黑客入侵事件(2)--小疏忽导致的入侵

        今天介绍一下另一起入侵事件，这次入侵事件的黑客技术水平明显要高于上次，作为这次入侵事件的发现者，感触颇多，由于已经离开该公司，避免对公司有什么影响，公司名用代号替代。 

       详细追查过程和相关敏感信息忽略。

       B互联网公司，在出现该入侵事件几个月前，公司出现部分客户手机号被盗情况，后续将客户手机号做加密，但涉及面多，未完全做完，

       历史原因，有部分系统用的PHP的Tars框架开发，各种原因Tars维护很困难，准备做一下迁移处理。这时架构师和运维，开启了Tars集群一台云主机的公网IP权限，开了几天，迁移处理完后，就关闭了，但就是这个看起来很简单的操作带来了巨大的后果。 

       研发一直在做库表迁移，把表从原有的一个库，分拆到其他实例上。当时做了一个SQL审计日志分析系统，具体见：

          1，用ELK分析每天4亿多条腾讯云MySQL审计日志(1)--解决过程

       这样就可以知道这表还有哪些账号调用，那些程序没有改，改了有没有改完等，方便研发快速做库表拆分。  

 发现异常： 

    1，昨天下午某研发小组组长根ELK汇总查询，反映有个账号还有读一个表，但查询程序已经改完，无账号读取该表，查询导入SQL审计日志的ELK，的确发现仅有的1,2次通过该账号的的查询记录。研发说都改完了，怎么还有该账号的读？

    2，早上10:30左右，查看每日慢SQL，发现某个账号查用户表，一共几百万+条用户数据，通过查询先前导入的ELK的SQL执行日志，发现有账号在凌晨导数据。

    3，早上，旁边的架构师说有台云主机发现有木马，要查杀。

 领导重视：

    结合这几天上面出现种种情况，再加上职业敏感性，我还特意和领导说了一下，有黑客入侵，旁边的同事还说，想多了，那有那么多入侵的事情。但有ELK这个工具的加持下，查询下来的确发现很大异常，而且不只一次入侵，领导终于重视，让我查数据库方面情况，另外一个架构师同事查云主机方面情况，汇报给公司。

 查询结论：

    1，数据很有针对性，特别针对有查询mobile字段的表。

    2，特意查询了有encrypt的字段，感觉是避开加密信息。

    3,  4天时间进行了3次入侵，有次还是从凌晨1点到持续到中午12点多，大白天工作时间也敢做，胆子比较大。

    4，用了5个数据库账号来查询数据。

    5,  4张包含手机号的敏感数据表被导出。

  同事还特意登陆了国外的暗网，看是否有卖我公司资料的信息，结果没找到，可能发现的比较早，也可能他们没在暗网交易。

个人感触：

    1，感觉黑客水平高，一直没想通云主机没有MySQL驱动，怎么连到我们的数据库

    2，黑客怎么在那么短时间锁定我们的云主机，通过什么漏洞进来的，怎么把数据下载下去的。

           感觉还是公司资料一直被盯上了，刚好有这个漏洞和误操作给了机会

    3，公司后来进行一系列的安全改进，将手机号等敏感信息加密，招专门的安全人才负责信息安全方面。