小王是一名DBA，他发现公司数据库里的数据最近突然被盗了，这让他又诧异又无奈。这个数据库最近才刚用安全扫描软件检查过，并且按照报告把所有补丁都打上了，怎么还会出事呢？在进一步排查中，排除了“内鬼”、误操作等原因外，只好将矛头指向黑客，是不是黑客使用了什么官方未发现的0day漏洞进行的入侵？

然而，真相却是：数据库被植入了后门。

根据研究发现，全球信息泄露事件中，被黑客组织利用漏洞使用频率研究发现，黑客组织使用排名前十的数据库漏洞均已被官方修复，并且官方都已经公布来了出过补丁和修复方案。但是在生产环境如果要对数据库进行修复或者中打一个补丁操作，需要一系列复杂的测试，才能确保对数据库打补丁之后补丁打上之后，不会对整个生产系统造成任何无法预计的影响。而恰恰就在对数据库打补丁之前这个测试的时间段里，黑客有了可乘之机。很多黑客组织会在数据库漏洞爆出的第一时间官方发布补丁后的第一时间，进行二进制比对，从中找出漏洞，编写攻击脚本，对未打补丁的数据库进行攻击。这其实就是一个时间差问题。

黑客入侵真相

了解到这个真相之后，小王又产生疑问了：我数据丢的时间节点，是在我打补丁之后，上面的理论说不通啊！其实，是小王不是很了解黑客的攻击流程而已，黑客组织远比想象的狡猾，他们绝不会在攻破之后马上就盗取数据，而是先植入后门，以后再利用后门来展开文件监控、机器控制、数据盗取等一系列操作行为。

在一场完整的黑客组织入侵过程中，黑客组织会通过网站未修补的漏洞、操作系统未修补的漏洞和操作系统上某些软件未修补的漏洞，进行一系列组合攻击，最终达到控制数据库或操作系统的目的。尤其有政府或财团支持的黑客组织，不会急于盗取数据库中的敏感信息快速变现，而在目标数据库中进行长期潜伏，一方面等待敏感信息价值和量级的成长，另一方面要摸清整个网络、系统的防护架构和审计能力，防止在盗取敏感数据时，留下特征和证据，甚至被对方发现。黑客入侵流程图见下图：

通常，黑客第一次潜入会充分利用各种未修补的漏洞，但目标系统会定期打补丁，所以导致一些漏洞不能再被利用。为了从一开始就杜绝这种现象，黑客首次入侵数据库后会在库中植入后门，这是黑客组织能长期稳定入侵数据库的关键。

漏洞+后门+Rootkit技术= 高级的渗透攻击手段

后门本身有多种形式，可能是DBA账号，可能是存储过程、函数、视图等。后门为黑客的后续入侵提供了方便之门，但后门本身是可以被一些专业的数据库扫描软件（例如DBScan）发现的。为了能够将后门隐藏起来不被发现，出现了一种技术叫做rootkit (Rootkit本意是使用root权限的工具集，但在本文中的意思是帮助Backdoor躲避检查的技术)，Rootkit就像给后门套上了一层隐身衣，防止被安全扫描软件发现。

利用漏洞可以让黑客攻入目标系统内部，夺取数据库权限，利用后门则为黑客后续攻击提供了一扇可任意出入的门，Rootkit则像一件隐形外衣，保护后门不被安全工具发现。漏洞、后门和Rootkit三者联合组成高级渗透攻击的常用手段。由此看见，解决安全问题不只是应对漏洞问题（按时打补丁即可）那么简单了，更重要的是解决后门和Rootkit的问题。虽然Rootkit具备了隐藏后门的能力，但DBScan优于一般扫描类安全产品的地方之一正在于可以识破Rootkit，发现后门。

成熟的黑客组织会采用多种Rootkit技术来隐藏数据库后门，如果对Rootkit这种技术不够了解，是无法研发出能识破“隐身”后门的数据库安全扫描软件。下面就跟随安华金和攻防实验室来对Rootkit技术做深入地了解：

下图为安华金和攻防实验室针对Rootkit技术进行的简单梳理，按照该技术的隐藏效果和实施难度可以分成四类：裸奔自救技术、数据库级Rootkit技术、操作系统级Rootkit技术和内存级Rootkit技术。

四种Rootkit技术应用场景

四种Rootkit技术中，若只针对数据库的后门，一般多采用裸奔自救技术或数据库级Rootkit技术。这是由于这两种技术不像操作系统级Rootkit技术需要比较高的操作系统权限。一旦黑客拿到操作系统权限，就不会只植入数据库后门这么简单了，一定会有操作系统后门存在。所以如果发现黑客使用了操作系统级Rootkit技术，在使用数据库安全扫描软件扫描的同时，一定还要使用操作系统的扫描软件进行安全检测。

内存级Rootkit是四类技术中操作难度最为复杂，同时也最难以被发现的，，但这种技术也有个致命伤，就是一旦数据库重启，内存级Rootkit也就随之被清空了，这就难以确保后门能够稳定且长期存在，所以黑客只会在某些特定阶段使用该技术，而难以广泛使用

裸奔自救技术或数据库级Rootkit技术，则易于实施，需要的权限只局限在数据库中，能够提供一定强度的后门隐藏效果，是黑客最常用的技巧。

一起对抗黑客入侵

未来，我们会逐渐公开一些具体的Rootkit技术解决方法，帮助各位DBA解决一些实际问题。如果需要全面的后门和Rootkit解决方案，可以选择安华金和成熟的数据库扫描产品DBScan，一并帮您解决复杂的后门和Rootkit问题。解开Rootkit的外衣，捉出隐藏后门，清除数据库安全隐患。