awsのec2インスタンス上のmysqlが乗っ取られる…ビットコインを払えだと…？！

To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address xxxxxx and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. Backups that we have right now: xxxxxx, main. Any email without your server IP Address or Domain Name and a Proof of Payment together will be ignored. If we dont receive your payment in the next 10 Days, we will delete your backup.

という文章が、PLEASE_READ_ME_VVV というテーブルが勝手に作られたようでその中に書かれていた…。幸い、別にたいしたデータは入っていなかったので大きな問題は無かったが、まさかクラックされることがあるとは…。

通常、mysqlはlocalhostからしかアクセスできないようになっているかと思いきや、mysql > SELECT Host, User, Password FROM mysql.user;　で見てみると、なぜかこのサーバはアプリサーバとか別の場所から接続させたいのか、ワイルドカード設定（%）が入っていてそれで外部のどこからもアクセスできてしまっていて、パスワードを解析されて入られてしまった模様…。

その仕様は自分ではわからず変えられないと思われるので（もしくはvpcで外側から防げば良いと思うが…）一応、ユーザーを新規に作りパスワードをmaxの64文字に設定し直した。それでもクラックされてしまうのだろうか…様子を見たいと思う。