V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐工具
RoboMongo
推荐书目
50 Tips and Tricks for MongoDB Developers
Related Blogs
Snail in a Turtleneck
ilaipi
V2EX  ›  MongoDB

自己装的 mongo 没有设置密码结果被黑了

  •  
  •   ilaipi · 2017-01-03 13:22:43 +08:00 · 17856 次点击
    这是一个创建于 2885 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上上班,连上 mongo 客户端发现之前的几个 db 都没有了,只有一个 WARNING 的数据库,里面有一个 WARNING 表,只有一条数据:

    {
        "_id" : ObjectId("5867e3958b7b6a260f57b196"),
        "mail" : "[email protected]",
        "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
    }
    

    数据库刚迁过来 2 周左右,今天正打算加上用户名密码的,竟然已经被黑了。。

    查了mongo的日志,应该是

    185.86.149.246    Sweden     經度: 18.056  緯度: 59.3247
    

    这个ip登录了然后执行了几个dropDatabase

    第 1 条附言  ·  2017-01-04 15:25:28 +08:00
    已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。

    现在 mongo 的用户策略是:
    建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。
    然后还有一个 readAnyDatabase 角色的用户外网使用。
    57 条回复    2017-04-24 15:00:16 +08:00
    Kilerd
        1
    Kilerd  
       2017-01-03 14:18:37 +08:00 via iPhone
    怪谁?
    yidinghe
        2
    yidinghe  
       2017-01-03 14:19:22 +08:00 via Android
    竟然开放外网端口
    xfspace
        3
    xfspace  
       2017-01-03 14:25:36 +08:00 via Android
    怪 BTC , hhh
    ilaipi
        4
    ilaipi  
    OP
       2017-01-03 14:28:23 +08:00
    @Kilerd 怪我自己,一直觉得像我们这样的小公司,不会有人没事来黑
    vus520
        5
    vus520  
       2017-01-03 14:42:00 +08:00
    0.2 BTC ,够人性的了。之前被要 100BTC ,恩,我要有这钱,我还打用出来打工?
    ilaipi
        6
    ilaipi  
    OP
       2017-01-03 14:48:09 +08:00
    @vus520 现在 BTC 是$1000 了,那时候多少?
    不过我们的数据现在看来是不值$200 的,所以我们不打算赎回了。。。
    raptor
        7
    raptor  
       2017-01-03 14:48:14 +08:00
    两周不设密码……已经算运气很好了……
    tabris17
        8
    tabris17  
       2017-01-03 14:49:06 +08:00
    不加密码开放公网访问,别说你连备份都没有啊
    shiny
        9
    shiny  
       2017-01-03 14:53:13 +08:00
    @ilaipi 现在都是批量黑的,大鱼小鱼虾米一起抓。只勒索 0.2 BTC 就可以看出来只是针对小公司的。稍微大点的公司都会有人意识到这个问题。
    luluuulu4848
        10
    luluuulu4848  
       2017-01-03 14:59:19 +08:00
    13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 这个是什么意思
    CloudnuY
        11
    CloudnuY  
       2017-01-03 15:00:30 +08:00
    @luluuulu4848 比特币钱包的地址
    davidyin
        12
    davidyin  
       2017-01-03 15:01:48 +08:00
    开门揖盗,只能说习惯不好。
    coderluan
        13
    coderluan  
       2017-01-03 15:04:30 +08:00
    @luluuulu4848 比特币客户端的收款地址,不是唯一的,比特币为了保持不可追踪性弄的
    bsxsb
        14
    bsxsb  
       2017-01-03 17:13:34 +08:00
    哥们,你的情况和我的一样,那狗日的邮箱也是假的,我写了一个邮件骂那狗日的,发不过去,投递失败
    yanzixuan
        15
    yanzixuan  
       2017-01-03 17:38:23 +08:00
    mongo 默认只能本地访问。。你开了远程端口不设密码,这不是引诱别人来搞你么?
    rogerchen
        16
    rogerchen  
       2017-01-03 17:44:46 +08:00
    @bsxsb 这种批量黑的肯定不讲究啊,钱都到手了何必浪费人力给你复原。
    phrack
        17
    phrack  
       2017-01-03 17:52:40 +08:00 via Android
    这安全意识也是没谁了
    ericls
        18
    ericls  
       2017-01-03 18:12:07 +08:00
    @coderluan 比特币最大的特性就是每笔交易都可追踪。。。。。
    P0P
        19
    P0P  
       2017-01-03 18:32:57 +08:00
    @ericls 每笔交易可以被其他 peer 证明,但是不能把钱包 address 跟用户联系起来,所有具有匿名性。
    coderluan
        20
    coderluan  
       2017-01-03 18:39:56 +08:00
    @ericls

    我指资金去向不可追踪,否则黑客也不会选它了,另外这个特性怎么也算不上“最大”吧。
    ericls
        21
    ericls  
       2017-01-03 18:58:49 +08:00 via iPhone
    @coderluan

    @P0P

    匿名和不可追踪可不一样

    Block chain 解决的不就是 traceability
    ilaipi
        22
    ilaipi  
    OP
       2017-01-03 20:13:49 +08:00 via iPhone
    @yanzixuan 开远程是方便自己啊!
    ilaipi
        23
    ilaipi  
    OP
       2017-01-03 20:14:57 +08:00 via iPhone
    @rogerchen 我以为他们会有职业道德
    SlipStupig
        24
    SlipStupig  
       2017-01-03 22:01:45 +08:00
    @coderluan bitc 每笔交易记录和交易数据流都可以监控,当然你用 BTC+Tor 难度就指数增长
    realpg
        25
    realpg  
       2017-01-03 23:26:42 +08:00
    虽然有点不太人道,我仍然控制不住自己对 LZ 说: 该!
    neoblackcap
        26
    neoblackcap  
       2017-01-03 23:36:34 +08:00
    数据库为什么要放在外网? redis ,数据库, mq 不是都应该放在防火墙后面吗?不是都应该只能内网访问吗?
    yunshansimon
        27
    yunshansimon  
       2017-01-03 23:47:09 +08:00 via iPad
    mongodb 打开外网监听端口,还不设密码,你是诚心黑你们老板的?
    ilaipi
        28
    ilaipi  
    OP
       2017-01-04 00:09:27 +08:00 via iPhone
    @realpg 确实是该!
    ilaipi
        29
    ilaipi  
    OP
       2017-01-04 00:09:56 +08:00 via iPhone
    @neoblackcap 是啊,都“应该”!
    blueandhack
        30
    blueandhack  
       2017-01-04 04:16:40 +08:00
    @timothyye 大叔这是不是你的同事?
    yangjunalns0
        31
    yangjunalns0  
       2017-01-04 04:47:15 +08:00
    我擦,也黑了我的,就在晚上 8 点多,妈蛋,现在都没找到方法恢复,,,
    SharkIng
        32
    SharkIng  
       2017-01-04 06:24:24 +08:00 via iPhone
    @bsxsb 如果没记错这个应该是 tor 内网邮箱吧?好像外网邮件发不进去
    j5shi
        33
    j5shi  
       2017-01-04 06:51:16 +08:00 via iPhone
    @vus520 这也得看被黑的数据的价值,这种数据开口 100BTC ,只能被呵呵了
    slwl
        34
    slwl  
       2017-01-04 08:54:54 +08:00
    是不是 bind 127.0.0.1 就不会出现这个情况了?
    timothyye
        35
    timothyye  
       2017-01-04 09:17:14 +08:00 via Android
    哈哈,我们的库也是这样,同一个人干的,不过黑的是我们的测试数据库而已
    annielong
        36
    annielong  
       2017-01-04 09:47:48 +08:00
    现在 sql 弱口令扫描天天都一波一波的,实在是受不了,封都封不完
    ilaipi
        37
    ilaipi  
    OP
       2017-01-04 09:52:15 +08:00
    @annielong 这个用的是 sql 弱口令 吗?求科普
    TimLang
        38
    TimLang  
       2017-01-04 11:12:26 +08:00
    最简单的方法用 navicat 的话,直接用 ssh 去连接数据库啊,自己查查手册,应该一般的 sql 客户端都支持的吧。
    chloerei
        39
    chloerei  
       2017-01-04 11:22:08 +08:00 via iPhone
    我也中过招, ubuntu 的包默认限定本地访问, mongo 的包默认不设限制。默认不设限制,就是不考虑自己的程序会不会被入门的、没有安全意识的个人或公司用到。

    后来我不用 Mongo 了。
    rpdict
        40
    rpdict  
       2017-01-04 11:51:30 +08:00
    上个月 MySQL 密码太弱,表被删了个溜干净,还好里面就我一个测试账号
    vzyw
        41
    vzyw  
       2017-01-04 11:59:30 +08:00
    @slwl
    同问,是不是 bind 127.0.0.1 外网就连不上了
    wildcat007
        42
    wildcat007  
       2017-01-04 12:07:51 +08:00
    现在都是脚本自动化了,各种黑科技。 iptables 策略弄好呀~
    AlisaDestiny
        43
    AlisaDestiny  
       2017-01-04 12:12:19 +08:00
    哎。万一里面真的有重要数据呢?那给了钱还不给恢复那不就 GG 了。
    Quaintjade
        44
    Quaintjade  
       2017-01-04 12:27:26 +08:00
    自己访问的话弄个跳板机啊,数据库限定只有 127.0.0.1, ::1 以及跳板机 IP 能访问。
    跳板机搭 VPN 还是带认证代理就随意了。
    zoues
        45
    zoues  
       2017-01-04 15:01:41 +08:00 via iPhone
    数据库难道不限制内网或者 localhost ?
    ilaipi
        46
    ilaipi  
    OP
       2017-01-04 15:21:59 +08:00
    @TimLang 难道 navicat 真的可以访问 mongo ?
    不过我用的 mongo client 确实是支持 ssh 的。
    ilaipi
        47
    ilaipi  
    OP
       2017-01-04 15:23:55 +08:00
    已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。

    现在 mongo 的用户策略是:
    建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。
    bianchensz
        48
    bianchensz  
       2017-01-05 09:20:30 +08:00
    @AlisaDestiny 一般都是给钱不给恢复的。拿到钱了谁还管你
    imeilige
        49
    imeilige  
       2017-01-05 19:30:16 +08:00
    ![Imgur]( )
    ilaipi
        50
    ilaipi  
    OP
       2017-01-05 20:08:15 +08:00
    @imeilige mail 和 note 一毛一样啊!
    zola
        51
    zola  
       2017-01-07 23:51:18 +08:00
    这个家伙赚了 3.42 比特币了:
    https://blockchain.info/address/13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
    13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
    Total Received: 3.42602434
    h8zy
        52
    h8zy  
       2017-01-08 14:33:18 +08:00
    请问有交过赎金数据恢复的伙伴吗
    miaomiaoweiwei
        53
    miaomiaoweiwei  
       2017-01-16 14:19:42 +08:00
    @h8zy 他登录执行的是 drop 操作,别傻了,哪会给你保存什么数据
    miaomiaoweiwei
        54
    miaomiaoweiwei  
       2017-01-16 14:28:33 +08:00
    你查的 mongo 的操作记录的日志,是在 local 里面查么?
    ilaipi
        55
    ilaipi  
    OP
       2017-01-16 14:39:04 +08:00
    @miaomiaoweiwei 你说的 local 是哪里?我指定了 mongo 的日志文件`/var/log/xxxx/mongo.log`
    dven
        56
    dven  
       2017-04-23 07:20:05 +08:00
    @ilaipi 可以做一个类似 VPN 的东西
    Cu635
        57
    Cu635  
       2017-04-24 15:00:16 +08:00
    竟然两周不设密码?!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1017 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:54 · PVG 05:54 · LAX 13:54 · JFK 16:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.