postgresqlがラムサムウェアにやられたようです。対応方法は？

vps上のpostgresqlのdatabaseがすべて書き換えられました。
テーブルはwarningというものだけとなり、
カラムには以下のメッセージが入っていました。

Send 0.5 BTC to this address and go to this site http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be available after payment!

ランラムウェアと思いますが、今ウイルススキャン中です。

データはバックアップに戻すとしても、
そもそも、ラムサムウェアなのか、サーバにログインされて、何かされたのか？
原因の特定ができていないので、
再発が怖くて手がつけれません。
（お客さんがうちの製品のトライアルに使っている環境なので、
リストアしてもまたデータ喪失したら嫌なので、、、）

念のため、サーバのログインパスワードのみを書き換えた状態です。
身に覚えのないリモートアクセスが昨夜、1件ありました。

postgresqlのランサムの事例や、
今回のような問題への対応としてアドバイスを頂ければ幸いです。

行動規範の内容に同意します

回答3件

ベストアンサー

予期できないことなんてまだまだ沢山あるんでしょうね。

サーバーへの侵入にはすべて明確な理由があります。あなたにとって予期できないことは（失礼ながら）あるでしょうが、「誰にも予期できない」経路はありません。「その脆弱性は知られていなかった」というケース（ゼロデイ脆弱性）はありますが、「ソフトウェアの脆弱性が経路だった」という意味では既知の経路であるわけです。

理論的に可能な経路はいくつかあるのですが、類似事例もあるようですし、攻撃者が狙いそうな経路としては以下が考えられます。

・ssh等OSへのログインが狙われた（パスワードの流出経路は複数考えられます）
・PostgreSQLに外部から接続できる状態で、PostgreSQLのパスワードが破られた
・phpPgAdminなどPostgreSQLの管理ソフトが外部から利用できる状態で、PostgreSQLのパスワードが破られた
・Webアプリケーションに脆弱性があり悪用された

可能性がありそうなものは思い当たりますか?

投稿2017/04/20 14:30

ockeghem

総合スコア11701

DaDaDaisuke

2017/04/21 14:28

・PostgreSQLに外部から接続できる状態で、PostgreSQLのパスワードが破られた・Webアプリケーションに脆弱性があり悪用されたこの２点が怪しいと思います。WEBアプリについては、最近の改修箇所にSQLインジェクション対応がされていない箇所がありました。 >「ソフトウェアの脆弱性が経路だった」という意味では既知の経路であるわけです。そういった考え方を持っていれば油断なんてできないですね。。。勉強になります。

行動規範の内容に同意します

まずすぐにネットワークから切り離してください。証拠の保全のため、サーバ全体のコピーを保存しておいてください。ファイヤーウォールや接続している他サーバのログも保存しておいてください。システムの構成によっては、そのサーバが他のサーバの攻撃の踏み台となっている可能性もあります。そちらも確認してください。

「お客様」に、状況を連絡してください。データの盗難だけでなく、マルウェア等が配信された可能性もありますので、クライアントのセキュリティチェックも依頼してください。

ご認識の通り、侵入経路を特定しそれに対処しないと、リストアしたところでリスクが残ったままです。必ず原因の特定が必要です。

想定される侵入経路はockeghem氏の回答を参考にしていただくとして、1点補足しておくと、原因は単独とは限りません。例えば、Webアプリケーションの脆弱性→リモート接続の制限の改変→外部からの接続、など、段階的に攻撃されていることも考えられます。根本的な部分を修正しないと再度侵入のリスクがあります。また、直接の侵入経路はすでに削除されていて単純には特定不可能かも知れません。

ウイルスチェックはやってもいいですが原因調査にはおそらく役に立ちません。(前述のとおり、別の攻撃を攻撃をするためのマルウェアが残されている可能性はあります)

原因が特定できたとして、バックドア等が仕掛けられている可能性がありますのでリストアはデータだけではなくシステム全体に対して行ってください。その際、バックアップが信頼できるものかどうか(すでに侵入されたあとのバックアップではないか)確認してください。確認出来ない場合は、クリーンインストールを行ってください。

正確な対応が必要ですので、自信が無いのであればすぐに専門の業者に相談されることをお勧めします。

投稿2017/04/21 01:57

suzukis

総合スコア1449

DaDaDaisuke

2017/04/21 14:39

現状への対処方法、ありがとうございます。バックドアが残されている事が怖いので、クリーンインストールを行っているところです。 ockeghem氏ご指摘の箇所は平行で対策しています。

行動規範の内容に同意します

こちらご参照ください。
Postgres DB is hacked!
Database security basics, just been hacked...
CryptoWall 3.0のトラフィック分析 ― ランサムウェアの内部に迫る

wordpressとか攻撃されやすいアプリケーション使ってませんかね。
ちゃんとセキュリティパッチは当てていますか？
あとはインターネット経由でDBにアクセスできるようにしてしまっているとか。
簡単なIDとパスワードにしてしまっているとか。
pg_hba.confを見直すとかしたほうが良いかと思います。

投稿2017/04/20 07:55

lazhuward

総合スコア1294

DaDaDaisuke

2017/04/20 08:56

テスト兼トライアル環境ということもあり、まとまったテストが終わるまで、 IPは全て受け付けるように設定していました。 DBの設定は直しました。パスワードは設定ファイルか、私のマシンなどからのアクセス時に抜かれたりするんでしょうね。サーバよりも自分のマシンが一番の温床じゃないか？気がしてきた。関連するマシンは一度きれいにした方がいいですよね。。。