西部数码MYSQL数据库安全风险公告

尊敬的用户

  您好


  最近我司工作人员陆续接到了不少云主机用户的反馈,反映其MYSQL数据库被黑,不少用户甚至数据也遭到了破坏,给用户造成了极大的损失。经我司工作人员仔细排查,发现被黑的MYSQL数据库均存在各式各样的安全隐患或漏洞,黑客通过这些漏洞入侵后非法添加了管理员,安装了后门、甚至进行了提权、或数据删除,对用户网站造成了极大负面影响,所以在此我们紧急提醒您,请立即核查自己的云主机是否也存在同样的问题,如果存在这些隐患,需要立即修补,以避免服务器被黑而造成巨大损失。

  具体安全隐患如下:


  1.数据库中登录用户密码为空(特别是root用户)。

危险指数:★★★★★

修补措施:立即设置复杂密码

  2.数据库服务器未将安全更新升级到最新。

危险指数:★★★。

修补措施:及时为服务器打补丁

  3.网站源程序中使用了root连接,且用户名、密码等全为明文。

危险指数:★★★★★

修补措施:强烈建议使用普通用户连接数据库,切勿使用root连接数据库。

  4.数据库登录用户的密码(包含root)是弱密码.

危险指数:★★★★★

修补措施:立即设置8位以上数字、字母、特殊符号组成的复杂密码

  5.root用户可以远程登录

危险指数:★★★★

修补措施:强烈建议用户禁止root远程登录,如果确实需要,也请设置IP限制.

  6.安装phpmyadmin

危险指数:★★

修补措施:如非十分必要,建议删除掉phpmyadmin,如果确实需要使用,也建议对目录进行特殊设置,比如修改目录名,或设置访问IP限制。


  建议有使用mysql数据库的云主机用户逐条对照以上安全隐患进行排查,一旦发现及时修补,以避免给黑客可剩之机,造成服务器被入侵或数据丢失,而引起不必要的损失。另外,若用户对网络安全不太熟悉,也可以考虑申请我司收费的安全加固服务,收费标准为100元/次,详情可提交工单申请。


  希望您一定重视。感谢您对我司的支持,谢谢



  西部数码