F**K，数据库被黑客删光了

同样被删，幸亏有备份，要不就凉凉了

@levinit 只是本地管理方便的话 ssh 隧道就够了

这不是前段时间的新闻吗，好像有人发现数据还在服务器上，找找看（千万别打钱

数据不重要，就是费力折腾。
打钱是不可能打钱的

他怎么可能费劲给你备份数据.

同样被删,同一个备份, 且没备份, 想要打钱,不知道怎么买币

对方有可能备份的，
用于二次勒索，不给钱就公开数据
三次勒索，卖数据

@zhaohua 打了也不可能拿回来数据，我这个数据库的数据有一个多 G，他不可能给我备份的。黑客+骗子，别想了。

真牛逼

不是云厂商的数据库？自建的？

IPban 和 duo 值得拥有

@hijoker 云主机上自己搭建的，方便测试用的

国内报警，然后找德国警方协作申请嫌疑人的访问记录和 IP 地址。然后电信机构查路由和 IP 记录，试试能不能揪出罪犯。


------参考 Tutanota 答疑------
Tutanota 可以匿名使用吗？你们会记录我的 IP 地址吗？
默认情况下，登录和发送邮件时不会记录 IP 地址，往来邮件中的 IP 地址也会被剔除，以免泄露您所在的位置。

只有当账户涉及谋杀、抢劫、勒索、儿童色情、炸弹袭击等重大犯罪时，我们才会依照德国法院下达的命令记录个人账户相关的 IP 地址。您可以在我们的博客详细了解德国的数据保护法律。

你忽略了最重要的点，备份。
你防御再好，还不如定期异地备份。

比如你 web 权限被人拿到，一样可以连你内网数据库，密码再复杂也没用，都在配置文件里。

@DoctorCat #21 想太多了，除非你网站足够重要，经济损失足够大，或者你关系够铁。
不然网警不会这么闲帮你查，黑客是国内的还有可能

数据库只开内网

之前我也碰到过，好像是 redis 远程执行导致的

云数据库不是有自动备份功能的吗？而且没多少钱我记得

@SpicaStar 不一定是真实用户，可能就是混币洗钱操作，因为有专门的混币机构服务或者程序，而且一般人家为了识别用户，每个人的价格都不一样，比如说对 A 的价格是 0.0180，对 B 的价格是 0.0181，然后通过转账记录金额看看谁付费了，诸如此类。。。

@zhaohua 去境外支持 rmb 支付的数字货币交易所就可以了，比如 coincola

3306 端口月经贴

0.018BTC 算是良心价，狗头

那公司数据库推荐买云服商的 rds 还是自建呢？
我之前 v2 搜了好多帖子，大部分人建议自建。

好多把端口露出来的坑货，现在呆的公司运维把端口管死死的，也很麻烦。

@tabris17 3 个月不登录，删除账号。不如 protonmail

我赶紧看下我的，一顿拒绝访问的记录，幸好里面没数据

不要慌，rm -rf 大概率是可以用软件恢复的

等币难后再支付

开放到公网的默认端口都要改，不然中招是迟早的，22，3306，27017 之类的，改端口又不难，改完保险很多很多很多，至少我改了之后再也没被黑过了

我的 mysql, redis 等等都是公网可访问的, 主要就是为了自己方便用, 把密码设置的复杂一点, 密码不要二次使用, 怎么可能会被爆破呢, 这么多年我也没被入侵过啊, 每天的尝试登录日志倒是有很多. 唯一需要担心的可能就是服务本身有漏洞

@Telegram 不然怎么办？放弃治疗等死？ 不试试怎么会知道呢，对吧

草。。。血压拉满了。。赶紧备份一波数据库。。

@DoctorCat 说实话。。。这邮件地址应该是不存在的。毕竟人家说“任何与付款无关的邮件都将被忽略”

备份呢

emmm 只删数据库了吗 代码图片什么的没动?

备份的重要性，有备份的话还好一些

公网 3306 开了也就开了，你再整个弱口令那真就是白给。

有客户 ERP 系统被攻击的，南京找人按勒索价格 6 折解密（极有可能是黑客本人或者代理）

我都是 root 只允许本地登录，普通账户要录入数据只能通过存储过程，并无其他写入权限
ssh 是 40 多位的密码

@IvanLi127 没明白你这不存在指的是啥。

用 ssh 隧道啊

我也试过中招， 但我数据库里什么重要的数据也没有

有的数据库本身安全策略上有缺陷，如果没有经过仔细配置的话就容易被人连上操作，这个你只要把数据库端口暴露到外网就有风险。

另外对于关系型数据库还可以通过后端服务的 API 来进行注入，同样可能可以做到把数据导出并删库。

所有服务全走 VPN，包括 SSH 和远程和桌面，是比较稳妥的方案。

如果是企业生产用途的话，可以参照网络安全等级保护的要求，除了安全策略还有容灾备份。

@libook 一般来说只要把默认端口号换成其他的就可以了，黑客不会有那么闲，专门针对你的服务器，一个个端口去试，一般都是用默认端口扫描 ip 吧

3306 日经+1 listen 127.0.0.1+ssh 公钥登陆 花个半个小时就能避免的问题

备份呢

3306 算啥，我 3389 出事了说什么了吗

我之前网站上线当天被删库，套路和你一样，还好有备份。。。

@polyang 路过，补充：

黑客偶尔也会写点小脚本，用来扫接口，所以最好的防范就是多重防御+不对公网开放某些服务，而不是纯粹的改改接口

云主机的话，快照也很方便的呀，随便他删，一键还原

@darknoll 3389 也算常用端口了

我付款了, 但是对方没给数据, 这帮人一点职业道德都不讲.

这咋破解的？暴力破解？

前几天看到一个电脑裸奔被黑的，今天看到一个 3306 扔公网的。
咋说呢，既然都裸奔了敢放公网了，还纠结被黑干嘛？

线下跟很多人说过，你这样做不安全，人家觉的你多余，说没事，没啥重要数据，改天给我发消息，说服务器被黑了，问我咋解决，这不活该么？再过来问我咋解决？真的是蠢的不行。

都是怎么被黑的？云主机没有安全组？只开放 ssh 公钥登陆端口，用 vscode 连上去，和操作本地一模一样，可以直接把远程端口转发到本地，公网上根本没有任何痕迹

估计是内鬼干的
我们测试数据库被黑了两次
第一次是弱密码，第二次是 16 位随机密码
第一次也就算了，第二次我想不明白怎么泄露的

@a719031256 可能是服务器直接被黑了

上年 11 月也经历过
我回个邮件给它们说我有备份数据的习惯，这比特币我就省下来了。

3306 放公网，加弱口令……
这是啥操作……

@wobuhuicode 你还气他们，不怕贼偷，就怕贼惦记

去年我司也遇到过，3306 端口没有限制 ip 访问，还好是测试环境

@polyang #54
都要改端口号了，把没必要暴露出去的端口改监听本机或局域网，成本是一样的，效果还更好。

分布式的肉鸡全端口扫描并不需要消耗黑客一秒的时间，肉鸡不值钱，有一大批物联网设备可以用，全端口扫描也就是加个循环的事，这点并发量跟 DDos 比九牛一毛都不算。

遭到分布式的全端口扫描的概率也并没有低到可以忽略的程度，毕竟门槛太低了。
不过任何安全策略就是求一个成本和风险的平衡，成本高、风险能接受就可以考虑不做。

我用 docker 跑的 mysql，这种情况没问题嘛？我尝试了外网连不上。

基本不可能有备份的。
黑客入侵之后删光，留个 readme 就行。剩下的就看你上不上钩
如果还要备份，那就得打包上传，时间长容易被发现不说，还要存储成本，傻子才这么做呢。

这家伙的钱包地址交易量挺大啊

裸奔不可怕，没有备份才是最可怕

我的数据库之前也被删库了，备份他们是不可能备份的，看日志只是执行了几个 drop 命令。

远程可访问的数据库，好家伙，我以为只要外包才这么干（还真在比较大的外包公司见过，运维就跟智障一样开了我们（甲方）的远程）

所以黑客是通过本地 mysql 客户端直接就连进去了吗。。。

0.018 个 BTC 真的很良心了……这黑客也太没出息了吧

3306 改端口是常识，我就算改了端口，我还做了两道备份，每小时一次。阿里云和腾讯云的存储各一个。
要不是带宽有限，我甚至想做同步。

使用证书登陆+fail2ban+改端口

公网开放端口防火墙设置白名单是基本的.

@dengshen 用什么 fail2ban，只保留一个 80，一个 443 端口，够了。

数据库绑定 ip 地址访问不就好了，为啥那么笨呢