网站被黑索要巨额比特币，这些坑千万不能踩

前言

事情是昨天发现的，在上班的路上，一群朋友问我是不是网站挂了。 一开始没太在意，以为是腾讯云不稳定。 当他告诉我数据库不存在时，我才意识到事情并没有那么简单。

当我想登录MySQL服务器时，发现root用户密码被修改了。 但是白天上班太忙，实在是没时间，晚上回来才有时间处理。回来马上修改root用户的密码

更改根密码

1、修改my.cnf，在[mysqld]下添加一行skip-grant-tables

vim /etc/my.cnf

[mysqld]
skip-grant-tables

2.重启mysql

service mysqld restart

3、登录mysql，此时不需要输入密码，直接回车即可，重新设置密码即可

mysql
update mysql.user set password=PASSWORD('yourpassword') where user='root';
flush privileges;
quit;

4.再次修改my.cnf文件比特币被黑，注意skip-grant-tables

vim /etc/my.cnf

[mysqld]
#skip-grant-tables

5.重启mysql

service mysqld restart

# 回车输入密码即可
mysql -u root -p

好了，现在可以正常登录MySQL服务器了。所有的表都被删除了，只剩下一个WARNING表

要恢复丢失的数据库并避免泄露它：请将 0.06 比特币 (BTC) 发送到我们的比特币地址 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD，并通过电子邮件联系我们并提供您的服务器 IP 或域名以及付款证明。 如果您不确定我们是否提供，请联系我们，我们会向您发送证明。 您的数据库已下载并备份在我们的服务器上。 如果我们在接下来的 10 天内没有收到您的付款，我们将公开您的数据库或以其他方式使用它们。

主要意思是让我给指定的账户打0.06比特币（约4300元）。 如果 10 天内没有收到比特币，数据将被公开。 因为数据不是很值钱，也没有什么安全隐患，因为登录系统密码已经加盐，做了很多次MD5，破解难度极大。主要是我穷，所以没有支付比特币，但经过这次事件，以后一定要做好相应的安全措施

安全措施 1.开启快照

腾讯云提供快照措施，可以快速将应用恢复到可用状态。 有50g的免费额度，足够我用了。 以下是腾讯云快照概览。

数据保护：对重要业务进行快照，可以应对误操作、攻击、病毒等导致数据丢失的风险，也可以将业务升级、业务迁移等重大操作中出现问题的业务恢复到历史正常状态及时。 灵活管理：建议使用周期性的快照，针对不同的业务类型制定不同的策略。 您可以指定云盘关联定期快照策略，定期创建和删除快照，更方便地保护您的数据安全。

这里我把快照保存到我服务器本身的硬盘中（可以看到关联的硬盘数为1）

出现问题时，通过回滚快照，服务可以快速可用

2.制作系统镜像

在购买的实例上点击Create Image

因为快照保存在服务器的硬盘上，如果服务器被黑，硬盘上的数据被删除，仍然会存在安全问题。我们可以每隔一段时间做一个系统镜像，系统镜像保存在腾讯云盘上，这样当删除快照后比特币被黑，我们可以通过重装系统和选择自定义镜像快速恢复服务

血淋淋的教训1.root用户必须限制ip访问

本来为了方便直接配置了root@%，这样只要知道root密码就可以在任何地方登录root用户，现在IP访问被限制了

2.不要把root用户名和密码写到配置文件中

这次被攻击的主要原因是我把root用户名和密码写进了wordpress的配置文件中。 正确的做法是为一个应用配置一个用户名（用户权限细分到每个数据库）wp-config.php

/** MySQL数据库用户名 */
define( 'DB_USER', 'root' );

/** MySQL数据库密码 */
define( 'DB_PASSWORD', '123456' );

3.不要使用短密码，使用密码生成网站生成密码

这一切都很方便。 我原来的root用户密码很简单。 这次我们要设置一个比较复杂的地址：

欢迎关注