Related Blogs 
这是一个创建于 3204 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天早上上班,连上 mongo 客户端发现之前的几个 db 都没有了,只有一个 WARNING 的数据库,里面有一个 WARNING 表,只有一条数据:
{ "_id" : ObjectId("5867e3958b7b6a260f57b196"), "mail" : "[email protected]", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" } 数据库刚迁过来 2 周左右,今天正打算加上用户名密码的,竟然已经被黑了。。
查了mongo的日志,应该是
185.86.149.246 Sweden 度: 18.056 度: 59.3247 这个ip登录了然后执行了几个dropDatabase
第 1 条附言 2017-01-04 15:25:28 +08:00
已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。
现在 mongo 的用户策略是:
建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。
然后还有一个 readAnyDatabase 角色的用户外网使用。
现在 mongo 的用户策略是:
建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。
然后还有一个 readAnyDatabase 角色的用户外网使用。
 | 1 Kilerd 2017-01-03 14:18:37 +08:00 via iPhone 怪谁? |
 | 2 yidinghe 2017-01-03 14:19:22 +08:00 via Android 竟然开放外网端口 |
 | 怪 BTC , hhh |
 | 5 vus520 2017-01-03 14:42:00 +08:00 0.2 BTC ,够人性的了。之前被要 100BTC ,恩,我要有这钱,我还打用出来打工? |
 | 6 ilaipi OP @vus520 现在 BTC 是$1000 了,那时候多少? 不过我们的数据现在看来是不值$200 的,所以我们不打算赎回了。。。 |
 | 7 raptor 2017-01-03 14:48:14 +08:00 两周不设密码……已经算运气很好了…… |
 | 8 tabris17 2017-01-03 14:49:06 +08:00 不加密码开放公网访问,别说你连备份都没有啊 |
 | 9 shiny 2017-01-03 14:53:13 +08:00 @ilaipi 现在都是批量黑的,大鱼小鱼虾米一起抓。只勒索 0.2 BTC 就可以看出来只是针对小公司的。稍微大点的公司都会有人意识到这个问题。 |
 | 10 luluuulu4848 2017-01-03 14:59:19 +08:00 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 这个是什么意思 |
 | 11 CloudnuY 2017-01-03 15:00:30 +08:00 @luluuulu4848 比特币钱包的地址 |
 | 12 davidyin 2017-01-03 15:01:48 +08:00 开门揖盗,只能说习惯不好。 |
 | 13 coderluan 2017-01-03 15:04:30 +08:00 @luluuulu4848 比特币客户端的收款地址,不是唯一的,比特币为了保持不可追踪性弄的 |
 | 14 bsxsb 2017-01-03 17:13:34 +08:00 哥们,你的情况和我的一样,那狗日的邮箱也是假的,我写了一个邮件骂那狗日的,发不过去,投递失败 |
 | 15 yanzixuan 2017-01-03 17:38:23 +08:00 mongo 默认只能本地访问。。你开了远程端口不设密码,这不是引诱别人来搞你么? |
 | 17 phrack 2017-01-03 17:52:40 +08:00 via Android 这安全意识也是没谁了 |
 | 21 ericls 2017-01-03 18:58:49 +08:00 via iPhone |
 | 24 SlipStupig 2017-01-03 22:01:45 +08:00 @coderluan bitc 每笔交易记录和交易数据流都可以监控,当然你用 BTC+Tor 难度就指数增长 |
 | 25 realpg PRO 虽然有点不太人道,我仍然控制不住自己对 LZ 说: 该! |
 | 26 neoblackcap 2017-01-03 23:36:34 +08:00 数据库为什么要放在外网? redis ,数据库, mq 不是都应该放在防火墙后面吗?不是都应该只能内网访问吗? |
 | 27 yunshansimon 2017-01-03 23:47:09 +08:00 via iPad mongodb 打开外网监听端口,还不设密码,你是诚心黑你们老板的? |
| 29 ilaipi OP @neoblackcap 是啊,都“应该”! |
 | 30 blueandhack 2017-01-04 04:16:40 +08:00 @timothyye 大叔这是不是你的同事? |
 | 31 yangjunalns0 2017-01-04 04:47:15 +08:00 我擦,也黑了我的,就在晚上 8 点多,妈蛋,现在都没找到方法恢复,,, |
 | 34 slwl 2017-01-04 08:54:54 +08:00 是不是 bind 127.0.0.1 就不会出现这个情况了? |
 | 35 timothyye 2017-01-04 09:17:14 +08:00 via Android 哈哈,我们的库也是这样,同一个人干的,不过黑的是我们的测试数据库而已 |
 | 36 annielong 2017-01-04 09:47:48 +08:00 现在 sql 弱口令扫描天天都一波一波的,实在是受不了,封都封不完 |
 | 38 TimLang 2017-01-04 11:12:26 +08:00 最简单的方法用 navicat 的话,直接用 ssh 去连接数据库啊,自己查查手册,应该一般的 sql 客户端都支持的吧。 |
 | 39 chloerei 2017-01-04 11:22:08 +08:00 via iPhone 我也中过招, ubuntu 的包默认限定本地访问, mongo 的包默认不设限制。默认不设限制,就是不考虑自己的程序会不会被入门的、没有安全意识的个人或公司用到。 后来我不用 Mongo 了。 |
 | 40 rpdict 2017-01-04 11:51:30 +08:00 上个月 MySQL 密码太弱,表被删了个溜干净,还好里面就我一个测试账号 |
 | 42 wildcat007 2017-01-04 12:07:51 +08:00 现在都是脚本自动化了,各种黑科技。 iptables 策略弄好呀~ |
 | 43 AlisaDestiny 2017-01-04 12:12:19 +08:00 哎。万一里面真的有重要数据呢?那给了钱还不给恢复那不就 GG 了。 |
 | 44 Quaintjade 2017-01-04 12:27:26 +08:00 自己访问的话弄个跳板机啊,数据库限定只有 127.0.0.1, ::1 以及跳板机 IP 能访问。 跳板机搭 VPN 还是带认证代理就随意了。 |
 | 45 zoues 2017-01-04 15:01:41 +08:00 via iPhone 数据库难道不限制内网或者 localhost ? |
| 46 ilaipi OP @TimLang 难道 navicat 真的可以访问 mongo ? 不过我用的 mongo client 确实是支持 ssh 的。 |
| 47 ilaipi OP 已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。 现在 mongo 的用户策略是: 建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。 |
 | 48 bianchensz 2017-01-05 09:20:30 +08:00 @AlisaDestiny 一般都是给钱不给恢复的。拿到钱了谁还管你 |
 | 49 b0 2017-01-05 19:30:16 +08:00  ) |
 | 51 zola 2017-01-07 23:51:18 +08:00 这个家伙赚了 3.42 比特币了: https://blockchain.info/address/13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq Total Received: 3.42602434 |
 | 52 h8zy 2017-01-08 14:33:18 +08:00 请问有交过赎金数据恢复的伙伴吗 |
 | 53 miaomiaoweiwei 2017-01-16 14:19:42 +08:00 @h8zy 他登录执行的是 drop 操作,别傻了,哪会给你保存什么数据 |
| 54 miaomiaoweiwei 2017-01-16 14:28:33 +08:00 你查的 mongo 的操作记录的日志,是在 local 里面查么? |
| 55 ilaipi OP @miaomiaoweiwei 你说的 local 是哪里?我指定了 mongo 的日志文件`/var/log/xxxx/mongo.log` |
 | 57 Cu635 2017-04-24 15:00:16 +08:00 竟然两周不设密码?! |
Select Language