MongoDB 被删库，我该怎么办？好无助

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐工具

RoboMongo

Related Blogs

Snail in a Turtleneck

这是一个创建于 3096 天前的主题，其中的信息可能已经有所发展或是发生改变。

VPS 上运行了自己的记账程序和博客程序，今天早上起来突然发现账单里面的记录全都没了，刚才登录到 VPS 里查看，发现数据库目录只剩下 DB_DELETED.0 和 DB_DELETED.ns 两个文件，其他的全都没了，哭晕简直！

请问大佬们这种情况是发生什么了？我的 MongoDB 没有做用户权限，也没有备份，出现这两个文件，是被人恶意删库了吗还是因为其他原因，请教啊 QAQ

第 1 条附言 2017-04-21 20:15:44 +08:00

晚上又登录上去看了下数据库，发现了留下来的信息，这下真的是哭晕了

经过这次教训，明天准备重装VPS，请教了大佬，有两个办法：

把服务端也迁移到VPS上，MongoDB只监听本地环回接口，彻底禁止外网访问
装上防火墙，MongoDB切换端口，设置管理员权限，定期备份，只是可怜我那垃圾VPS又得折腾了

以后一定要备份，唉

91 条回复 2017-04-23 16:56:18 +08:00

lifeintools

2017-04-21 14:20:27 +08:00 via iPhone

前一段不是报出来一个漏洞么？

jiangzhuo

2017-04-21 14:20:32 +08:00

t/356219#reply7

如果设置了用户权限的话，也可能是你梦游的时候自己删了不记得了。
看你有没有创建主从了，如果没有的话好像完全没有希望恢复了。
你可以找找有没有给你留下联系邮箱或者比特币钱包地址，觉得价格合适交钱删库的人会还给你数据。

hellodigua

2017-04-21 14:29:43 +08:00

@jiangzhuo 并没有设置管理员，默认连接的，以后只能长记性，每天备份了

Finest

2017-04-21 14:31:40 +08:00

我还想进来让你尽快跑路

nailuoGG

2017-04-21 14:32:49 +08:00

眼熟地瓜

Elven

2017-04-21 14:38:12 +08:00 via iPhone

啊嘞嘞，地瓜这名怎么这么熟悉，唔，没备份的话大概没办法了 Orz

linxl

2017-04-21 14:42:26 +08:00

还好我不会 MongoDB

Phariel

2017-04-21 14:44:03 +08:00

没有备份就 GG ，血的教训

LokiSharp

2017-04-21 14:46:07 +08:00

@hellodigua #3 地瓜！！！

realpg

PRO

2017-04-21 14:46:10 +08:00

你一定是用了 centos

anyclue

2017-04-21 14:49:59 +08:00

http://www.freebuf.com/articles/database/125127.html
http://www.freebuf.com/news/106204.html
http://www.cnblogs.com/LittleHann/p/6252421.html

iRiven

2017-04-21 14:51:05 +08:00 via Android

快照

hellodigua

2017-04-21 15:24:45 +08:00

@realpg 你怎么知道的！ centos7

Ouyangan

2017-04-21 15:29:33 +08:00

没事 ,博客你迟早会自己删的.

realpg

PRO

2017-04-21 15:30:33 +08:00

@hellodigua #13
ubuntu server 大法好
退 redhat 保平安

kn007

2017-04-21 15:34:27 +08:00 via Android

@realpg 怎么说？

lfzyx

2017-04-21 15:36:57 +08:00

debian 大法好，退 centos 保平安

jiangzhuo

2017-04-21 15:41:44 +08:00

arc 大法好，退 centos 保平安？？？
因为 centos 默认所有端口全开着的，如果是给公共访问的 mongodb 建议只给用户只读权限

lianz

2017-04-21 15:45:55 +08:00

你能怎么办, 你也很绝望啊

hellodigua

2017-04-21 15:47:01 +08:00

@jiangzhuo 多谢大佬提醒

hellodigua

2017-04-21 15:47:13 +08:00

/div>

@Ouyangan 是啊哈哈，但是数据还是想保存的……

tabris17

2017-04-21 15:51:43 +08:00

接下去该跑路了

DoraJDJ

2017-04-21 15:54:57 +08:00 via Android

缺乏安全意识，没能及时为服务器进行安全配置的后果，只能是自作自受。

下次记得做好服务器安全配置的检查，多做备份。

murmur

2017-04-21 15:55:40 +08:00

@jiangzhuo 所有的勒索都是直接删库，谁会给你拷贝数据出来

oott123

2017-04-21 16:29:43 +08:00

你用 MongoChef 之类的 GUI 工具连上去看（主要是方便），应该能看到删库的人留下的联系信息。

不过建议不要交赎金，很大可能交了赎金也拿不回数据……

试试联系 VPS 提供商，看他们有没有较早的实例备份，可能可以付点钱拿回来。

wbt

2017-04-21 16:33:54 +08:00

我还想提醒你趁早跑路呢

ftdejo

2017-04-21 16:42:28 +08:00

兄得你这个还好要是商业项目就只能跑路了 2333

jeneser

2017-04-21 16:46:50 +08:00 via Android

也别跑路了，从头再来吧......

notreami

2017-04-21 17:08:01 +08:00

每天定时备份，多简单的事情

nullcc

2017-04-21 17:10:01 +08:00

可能你的 mongodb 对外开放端口且是默认端口，也没设置密码，被别人扫到，直接进去搞破坏。

misaka19000

2017-04-21 17:10:48 +08:00 via Android

楼主不哭，摸摸头

jiangzhuo

2017-04-21 17:47:05 +08:00

@murmur 你得看良心不良心了吧。要树立国际化的百年勒索品牌的话，信誉肯定是首要的。拿了赎金还撕票的话以后还怎么在江湖上混，第二票再绑了谁还会给赎金。

jiangzhuo

2017-04-21 17:49:32 +08:00

@murmur 另外有价值的数据肯定要拷出来的，勒索不成还能拿到黑市上卖个钱。

flyingghost

2017-04-21 18:08:15 +08:00

1 ，数据库或者说任何服务开外网并且不上锁简直就是作死。
2 ，比特币勒索不要去支付，根本没人帮你备份的。
3 ，安全意识差和操作系统默认设置没关系。就算默认不开端口， lz 为了外网访问而搜索百度然后打开 iptables 设置。
4 ，作为以上一条补充： mongodb 虽然默认没密码，但人家默认不开外网的。。。

tblxdezhu

2017-04-21 18:14:35 +08:00 via Android

我也是来看楼主是不是要跑路的

msg7086

2017-04-21 18:48:35 +08:00

@jiangzhuo 不会的。就算不停撕票，也总会有人继续给赎金的。

hellodigua

2017-04-21 19:18:12 +08:00

@nullcc 很有可能，因为这台机器平时真的用的不多

hellodigua

2017-04-21 19:45:34 +08:00

@anyclue 看到了你贴的第一个帖子，灵机一动，去看了下那个数据库，然后发现悲剧了……

hellodigua

2017-04-21 20:20:46 +08:00

@flyingghost @jiangzhuo @oott123 悲剧，果然是被删库

oott123

2017-04-21 20:55:42 +08:00 via Android

不想迁移服务端可以通过配置 iptables 给你服务端开白名单解决。
当然用户名密码也是有必要的。
换端口意义就不是很大了，属于掩耳盗铃，防止一些批量扫描而已。

hellodigua

2017-04-21 21:03:33 +08:00

@oott123 了解，明天去试试，还是多谢了~

gongpeione

2017-04-21 21:04:38 +08:00

心疼地瓜 dalao

mathgl

2017-04-21 21:50:42 +08:00

我在 vps 用 mongodb 从来都会屏蔽外网访问。

hellodigua

2017-04-21 21:53:48 +08:00

@mathgl 服务端不在本地，没办法

hellodigua

2017-04-21 21:54:03 +08:00

@gongpeione 被树 dalao 心疼

mathgl

2017-04-21 22:36:25 +08:00

@hellodigua 如果两台都是 vps, 那么搞白名单好了，老实说任何数据库放开端口，就算有用户密码，都是高风险，不推荐这样用。

gzlock

2017-04-21 23:21:04 +08:00

docker-compose 内使用 mongodb ，不暴露端口到宿主机，可否避免这个问题？

GoBeyond

2017-04-21 23:30:50 +08:00 via Android

数据库没特殊需求给外网等于找死

yunshansimon

2017-04-21 23:40:35 +08:00

@gzlock 除非你的 client 端也在同一台机器上，并用 docker 的内置 router 连接，才能保证安全。或者映射服务端口到 127.0.0.1 上。没有密码千万不要映射到外部 ip 上。

cxbig

2017-04-22 00:46:25 +08:00

老生常谈的问题
1. 只用 SSH Key 登录
2. 任何数据库服务不对外网公开
3. 经常、多地备份

2017-04-22 00:53:55 +08:00

看看能不能回滚，也就是自动的镜像备份什么的。

话说一个博客程序弄 mongodb 干啥，还不如 sqlite 健壮朴实，迁移方便啊！

Mbin

2017-04-22 04:29:49 +08:00 via iPhone

这是去年的事了，楼主竟然没警觉

neroxps

2017-04-22 09:07:34 +08:00

只开放使用的端口是必须的吧？

端口就是洞洞，开的越多越危险啊。恨不得 SSH 也用 HTTPS 代理呢。

2owe

2017-04-22 09:39:51 +08:00

给钱的方法不靠谱吧，割肉喂狼

hellodigua

2017-04-22 10:06:10 +08:00 via Android

@fy 前端开发练手用的，，，

hellodigua

2017-04-22 10:07:00 +08:00 via Android

@Mbin 前端表示基本没关注过数据库方面的问题啊，结果今天才被坑。。。

hellodigua

2017-04-22 10:08:12 +08:00 via Android

@2owe 肯定是不会给钱的，我那点数据也不值 800 块。。。

kimoCHG

2017-04-22 10:31:05 +08:00

MongoDB 鉴权模式登录 http://www.jianshu.com/p/79caa1cc49a5

realpg

PRO

2017-04-22 11:44:10 +08:00

@hellodigua #13
@kn007 #16

t/332931?p=1#r_3931790

wdlth

2017-04-22 11:55:59 +08:00

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
默认只开放 22 ，肯定是你改了 iptables 规则或者关闭了 iptables ……