自己装的 mongo 没有设置密码结果被黑了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐工具

› RoboMongo

Related Blogs

› Snail in a Turtleneck

这是一个创建于 2885 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天早上上班，连上 mongo 客户端发现之前的几个 db 都没有了，只有一个 WARNING 的数据库，里面有一个 WARNING 表，只有一条数据：

{
    "_id" : ObjectId("5867e3958b7b6a260f57b196"),
    "mail" : "[email protected]",
    "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}

数据库刚迁过来 2 周左右，今天正打算加上用户名密码的，竟然已经被黑了。。

查了mongo的日志，应该是

185.86.149.246    Sweden     經度: 18.056  緯度: 59.3247

这个ip登录了然后执行了几个dropDatabase

第 1 条附言 · 2017-01-04 15:25:28 +08:00

已经设置了比较复杂的密码，暂时先这样，同时也启用了每天备份。

现在 mongo 的用户策略是：
建了一个有 userAdminAnyDatabase 的用户，然后给每个 db 分别创建一个 readWrite 角色的用户。
然后还有一个 readAnyDatabase 角色的用户外网使用。

mongo

WARNING

数据库

密码

57 条回复 • 2017-04-24 15:00:16 +08:00

Kilerd

2017-01-03 14:18:37 +08:00 via iPhone

怪谁？

yidinghe

2017-01-03 14:19:22 +08:00 via Android

竟然开放外网端口

xfspace

2017-01-03 14:25:36 +08:00 via Android

怪 BTC ， hhh

ilaipi

2017-01-03 14:28:23 +08:00

@Kilerd 怪我自己，一直觉得像我们这样的小公司，不会有人没事来黑

vus520

2017-01-03 14:42:00 +08:00

0.2 BTC ，够人性的了。之前被要 100BTC ，恩，我要有这钱，我还打用出来打工？

ilaipi

2017-01-03 14:48:09 +08:00

@vus520 现在 BTC 是$1000 了，那时候多少？
不过我们的数据现在看来是不值$200 的，所以我们不打算赎回了。。。

raptor

2017-01-03 14:48:14 +08:00

两周不设密码……已经算运气很好了……

tabris17

2017-01-03 14:49:06 +08:00

不加密码开放公网访问，别说你连备份都没有啊

shiny

2017-01-03 14:53:13 +08:00

@ilaipi 现在都是批量黑的，大鱼小鱼虾米一起抓。只勒索 0.2 BTC 就可以看出来只是针对小公司的。稍微大点的公司都会有人意识到这个问题。

luluuulu4848

2017-01-03 14:59:19 +08:00

13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 这个是什么意思

CloudnuY

2017-01-03 15:00:30 +08:00

@luluuulu4848 比特币钱包的地址

davidyin

2017-01-03 15:01:48 +08:00

开门揖盗，只能说习惯不好。

coderluan

2017-01-03 15:04:30 +08:00

@luluuulu4848 比特币客户端的收款地址，不是唯一的，比特币为了保持不可追踪性弄的

bsxsb

2017-01-03 17:13:34 +08:00

哥们，你的情况和我的一样，那狗日的邮箱也是假的，我写了一个邮件骂那狗日的，发不过去，投递失败

yanzixuan

2017-01-03 17:38:23 +08:00

mongo 默认只能本地访问。。你开了远程端口不设密码，这不是引诱别人来搞你么？

rogerchen

2017-01-03 17:44:46 +08:00

@bsxsb 这种批量黑的肯定不讲究啊，钱都到手了何必浪费人力给你复原。

phrack

2017-01-03 17:52:40 +08:00 via Android

这安全意识也是没谁了

ericls

2017-01-03 18:12:07 +08:00

@coderluan 比特币最大的特性就是每笔交易都可追踪。。。。。

P0P

2017-01-03 18:32:57 +08:00

@ericls 每笔交易可以被其他 peer 证明，但是不能把钱包 address 跟用户联系起来，所有具有匿名性。

coderluan

2017-01-03 18:39:56 +08:00

@ericls

我指资金去向不可追踪，否则黑客也不会选它了，另外这个特性怎么也算不上“最大”吧。

ericls

2017-01-03 18:58:49 +08:00 via iPhone

@coderluan

@P0P

匿名和不可追踪可不一样

Block chain 解决的不就是 traceability

ilaipi

2017-01-03 20:13:49 +08:00 via iPhone

@yanzixuan 开远程是方便自己啊！

ilaipi

2017-01-03 20:14:57 +08:00 via iPhone

@rogerchen 我以为他们会有职业道德

SlipStupig

2017-01-03 22:01:45 +08:00

@coderluan bitc 每笔交易记录和交易数据流都可以监控，当然你用 BTC+Tor 难度就指数增长

realpg

2017-01-03 23:26:42 +08:00

虽然有点不太人道，我仍然控制不住自己对 LZ 说：该！

neoblackcap

2017-01-03 23:36:34 +08:00

数据库为什么要放在外网？ redis ，数据库, mq 不是都应该放在防火墙后面吗？不是都应该只能内网访问吗？

yunshansimon

2017-01-03 23:47:09 +08:00 via iPad

mongodb 打开外网监听端口，还不设密码，你是诚心黑你们老板的？

ilaipi

2017-01-04 00:09:27 +08:00 via iPhone

@realpg 确实是该！

ilaipi

2017-01-04 00:09:56 +08:00 via iPhone

@neoblackcap 是啊，都“应该”！

blueandhack

2017-01-04 04:16:40 +08:00

@timothyye 大叔这是不是你的同事？

yangjunalns0

2017-01-04 04:47:15 +08:00

我擦，也黑了我的，就在晚上 8 点多，妈蛋，现在都没找到方法恢复，，，

SharkIng

2017-01-04 06:24:24 +08:00 via iPhone

@bsxsb 如果没记错这个应该是 tor 内网邮箱吧？好像外网邮件发不进去

j5shi

2017-01-04 06:51:16 +08:00 via iPhone

@vus520 这也得看被黑的数据的价值，这种数据开口 100BTC ，只能被呵呵了

slwl

2017-01-04 08:54:54 +08:00

是不是 bind 127.0.0.1 就不会出现这个情况了？

timothyye

2017-01-04 09:17:14 +08:00 via Android

哈哈，我们的库也是这样，同一个人干的，不过黑的是我们的测试数据库而已

annielong

2017-01-04 09:47:48 +08:00

现在 sql 弱口令扫描天天都一波一波的，实在是受不了，封都封不完

ilaipi

2017-01-04 09:52:15 +08:00

@annielong 这个用的是 sql 弱口令吗？求科普

TimLang

2017-01-04 11:12:26 +08:00

最简单的方法用 navicat 的话，直接用 ssh 去连接数据库啊，自己查查手册，应该一般的 sql 客户端都支持的吧。

chloerei

2017-01-04 11:22:08 +08:00 via iPhone

我也中过招， ubuntu 的包默认限定本地访问， mongo 的包默认不设限制。默认不设限制，就是不考虑自己的程序会不会被入门的、没有安全意识的个人或公司用到。

后来我不用 Mongo 了。

rpdict

2017-01-04 11:51:30 +08:00

上个月 MySQL 密码太弱，表被删了个溜干净，还好里面就我一个测试账号

vzyw

2017-01-04 11:59:30 +08:00

@slwl
同问，是不是 bind 127.0.0.1 外网就连不上了

wildcat007

2017-01-04 12:07:51 +08:00

现在都是脚本自动化了，各种黑科技。 iptables 策略弄好呀~

AlisaDestiny

2017-01-04 12:12:19 +08:00

哎。万一里面真的有重要数据呢？那给了钱还不给恢复那不就 GG 了。

Quaintjade

2017-01-04 12:27:26 +08:00

自己访问的话弄个跳板机啊，数据库限定只有 127.0.0.1, ::1 以及跳板机 IP 能访问。
跳板机搭 VPN 还是带认证代理就随意了。

zoues

2017-01-04 15:01:41 +08:00 via iPhone

数据库难道不限制内网或者 localhost ？

ilaipi

2017-01-04 15:21:59 +08:00

@TimLang 难道 navicat 真的可以访问 mongo ？
不过我用的 mongo client 确实是支持 ssh 的。

ilaipi

2017-01-04 15:23:55 +08:00

已经设置了比较复杂的密码，暂时先这样，同时也启用了每天备份。

现在 mongo 的用户策略是：
建了一个有 userAdminAnyDatabase 的用户，然后给每个 db 分别创建一个 readWrite 角色的用户。

bianchensz

2017-01-05 09:20:30 +08:00

@AlisaDestiny 一般都是给钱不给恢复的。拿到钱了谁还管你

imeilige

2017-01-05 19:30:16 +08:00

![Imgur](

)

ilaipi

2017-01-05 20:08:15 +08:00

@imeilige mail 和 note 一毛一样啊！

zola

2017-01-07 23:51:18 +08:00

这个家伙赚了 3.42 比特币了：
https://blockchain.info/address/13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
Total Received: 3.42602434

h8zy

2017-01-08 14:33:18 +08:00

请问有交过赎金数据恢复的伙伴吗

miaomiaoweiwei

2017-01-16 14:19:42 +08:00

@h8zy 他登录执行的是 drop 操作，别傻了，哪会给你保存什么数据

miaomiaoweiwei

2017-01-16 14:28:33 +08:00

你查的 mongo 的操作记录的日志，是在 local 里面查么？

ilaipi

2017-01-16 14:39:04 +08:00

@miaomiaoweiwei 你说的 local 是哪里？我指定了 mongo 的日志文件`/var/log/xxxx/mongo.log`

dven

2017-04-23 07:20:05 +08:00

@ilaipi 可以做一个类似 VPN 的东西

Cu635

2017-04-24 15:00:16 +08:00

竟然两周不设密码？！