今天早上上班,连上 mongo 客户端发现之前的几个 db 都没有了,只有一个 WARNING 的数据库,里面有一个 WARNING 表,只有一条数据:
{
"_id" : ObjectId("5867e3958b7b6a260f57b196"),
"mail" : "[email protected]",
"note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}
数据库刚迁过来 2 周左右,今天正打算加上用户名密码的,竟然已经被黑了。。
查了mongo的日志,应该是
185.86.149.246 Sweden 經度: 18.056 緯度: 59.3247
这个ip登录了然后执行了几个dropDatabase
1
Kilerd 2017-01-03 14:18:37 +08:00 via iPhone
怪谁?
|
2
yidinghe 2017-01-03 14:19:22 +08:00 via Android
竟然开放外网端口
|
3
xfspace 2017-01-03 14:25:36 +08:00 via Android
怪 BTC , hhh
|
5
vus520 2017-01-03 14:42:00 +08:00
0.2 BTC ,够人性的了。之前被要 100BTC ,恩,我要有这钱,我还打用出来打工?
|
6
ilaipi OP @vus520 现在 BTC 是$1000 了,那时候多少?
不过我们的数据现在看来是不值$200 的,所以我们不打算赎回了。。。 |
7
raptor 2017-01-03 14:48:14 +08:00
两周不设密码……已经算运气很好了……
|
8
tabris17 2017-01-03 14:49:06 +08:00
不加密码开放公网访问,别说你连备份都没有啊
|
9
shiny 2017-01-03 14:53:13 +08:00
@ilaipi 现在都是批量黑的,大鱼小鱼虾米一起抓。只勒索 0.2 BTC 就可以看出来只是针对小公司的。稍微大点的公司都会有人意识到这个问题。
|
10
luluuulu4848 2017-01-03 14:59:19 +08:00
13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 这个是什么意思
|
11
CloudnuY 2017-01-03 15:00:30 +08:00
@luluuulu4848 比特币钱包的地址
|
12
davidyin 2017-01-03 15:01:48 +08:00
开门揖盗,只能说习惯不好。
|
13
coderluan 2017-01-03 15:04:30 +08:00
@luluuulu4848 比特币客户端的收款地址,不是唯一的,比特币为了保持不可追踪性弄的
|
14
bsxsb 2017-01-03 17:13:34 +08:00
哥们,你的情况和我的一样,那狗日的邮箱也是假的,我写了一个邮件骂那狗日的,发不过去,投递失败
|
15
yanzixuan 2017-01-03 17:38:23 +08:00
mongo 默认只能本地访问。。你开了远程端口不设密码,这不是引诱别人来搞你么?
|
17
phrack 2017-01-03 17:52:40 +08:00 via Android
这安全意识也是没谁了
|
21
ericls 2017-01-03 18:58:49 +08:00 via iPhone
|
24
SlipStupig 2017-01-03 22:01:45 +08:00
@coderluan bitc 每笔交易记录和交易数据流都可以监控,当然你用 BTC+Tor 难度就指数增长
|
25
realpg 2017-01-03 23:26:42 +08:00
虽然有点不太人道,我仍然控制不住自己对 LZ 说: 该!
|
26
neoblackcap 2017-01-03 23:36:34 +08:00
数据库为什么要放在外网? redis ,数据库, mq 不是都应该放在防火墙后面吗?不是都应该只能内网访问吗?
|
27
yunshansimon 2017-01-03 23:47:09 +08:00 via iPad
mongodb 打开外网监听端口,还不设密码,你是诚心黑你们老板的?
|
29
ilaipi OP @neoblackcap 是啊,都“应该”!
|
30
blueandhack 2017-01-04 04:16:40 +08:00
@timothyye 大叔这是不是你的同事?
|
31
yangjunalns0 2017-01-04 04:47:15 +08:00
我擦,也黑了我的,就在晚上 8 点多,妈蛋,现在都没找到方法恢复,,,
|
34
slwl 2017-01-04 08:54:54 +08:00
是不是 bind 127.0.0.1 就不会出现这个情况了?
|
35
timothyye 2017-01-04 09:17:14 +08:00 via Android
哈哈,我们的库也是这样,同一个人干的,不过黑的是我们的测试数据库而已
|
36
annielong 2017-01-04 09:47:48 +08:00
现在 sql 弱口令扫描天天都一波一波的,实在是受不了,封都封不完
|
38
TimLang 2017-01-04 11:12:26 +08:00
最简单的方法用 navicat 的话,直接用 ssh 去连接数据库啊,自己查查手册,应该一般的 sql 客户端都支持的吧。
|
39
chloerei 2017-01-04 11:22:08 +08:00 via iPhone
我也中过招, ubuntu 的包默认限定本地访问, mongo 的包默认不设限制。默认不设限制,就是不考虑自己的程序会不会被入门的、没有安全意识的个人或公司用到。
后来我不用 Mongo 了。 |
40
rpdict 2017-01-04 11:51:30 +08:00
上个月 MySQL 密码太弱,表被删了个溜干净,还好里面就我一个测试账号
|
42
wildcat007 2017-01-04 12:07:51 +08:00
现在都是脚本自动化了,各种黑科技。 iptables 策略弄好呀~
|
43
AlisaDestiny 2017-01-04 12:12:19 +08:00
哎。万一里面真的有重要数据呢?那给了钱还不给恢复那不就 GG 了。
|
44
Quaintjade 2017-01-04 12:27:26 +08:00
自己访问的话弄个跳板机啊,数据库限定只有 127.0.0.1, ::1 以及跳板机 IP 能访问。
跳板机搭 VPN 还是带认证代理就随意了。 |
45
zoues 2017-01-04 15:01:41 +08:00 via iPhone
数据库难道不限制内网或者 localhost ?
|
46
ilaipi OP @TimLang 难道 navicat 真的可以访问 mongo ?
不过我用的 mongo client 确实是支持 ssh 的。 |
47
ilaipi OP 已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。
现在 mongo 的用户策略是: 建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。 |
48
bianchensz 2017-01-05 09:20:30 +08:00
@AlisaDestiny 一般都是给钱不给恢复的。拿到钱了谁还管你
|
49
imeilige 2017-01-05 19:30:16 +08:00
|
51
zola 2017-01-07 23:51:18 +08:00
这个家伙赚了 3.42 比特币了:
https://blockchain.info/address/13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq Total Received: 3.42602434 |
52
h8zy 2017-01-08 14:33:18 +08:00
请问有交过赎金数据恢复的伙伴吗
|
53
miaomiaoweiwei 2017-01-16 14:19:42 +08:00
@h8zy 他登录执行的是 drop 操作,别傻了,哪会给你保存什么数据
|
54
miaomiaoweiwei 2017-01-16 14:28:33 +08:00
你查的 mongo 的操作记录的日志,是在 local 里面查么?
|
55
ilaipi OP @miaomiaoweiwei 你说的 local 是哪里?我指定了 mongo 的日志文件`/var/log/xxxx/mongo.log`
|
57
Cu635 2017-04-24 15:00:16 +08:00
竟然两周不设密码?!
|