V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐工具
RockMongo
推荐书目
50 Tips and Tricks for MongoDB Developers
Related Blogs
Snail in a Turtleneck
Sponsored by
石墨文档
石墨文档
寻找中国最优秀的程序员
加入我们,一起来改变这个可爱的星球
Promoted by 石墨文档
V2EX  ›  MongoDB

自己装的 mongo 没有设置密码结果被黑了

  •  
  •   ilaipi · 48 天前 · 5113 次点击
    这是一个创建于 48 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上上班,连上 mongo 客户端发现之前的几个 db 都没有了,只有一个 WARNING 的数据库,里面有一个 WARNING 表,只有一条数据:

    {
        "_id" : ObjectId("5867e3958b7b6a260f57b196"),
        "mail" : "harak1r1@sigaint.org",
        "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
    }
    

    数据库刚迁过来 2 周左右,今天正打算加上用户名密码的,竟然已经被黑了。。

    查了mongo的日志,应该是

    185.86.149.246    Sweden     經度: 18.056  緯度: 59.3247
    

    这个ip登录了然后执行了几个dropDatabase

    第 1 条附言  ·  47 天前
    已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。

    现在 mongo 的用户策略是:
    建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。
    然后还有一个 readAnyDatabase 角色的用户外网使用。
    55 回复  |  直到 2017-01-16 14:39:04 +08:00
        1
    Kilerd   48 天前 via iPhone
    怪谁?
        2
    yidinghe   48 天前 via Android
    竟然开放外网端口
        3
    xfspace   48 天前 via Android
    怪 BTC , hhh
        4
    ilaipi   48 天前
    @Kilerd 怪我自己,一直觉得像我们这样的小公司,不会有人没事来黑
        5
    vus520   48 天前
    0.2 BTC ,够人性的了。之前被要 100BTC ,恩,我要有这钱,我还打用出来打工?
        6
    ilaipi   48 天前
    @vus520 现在 BTC 是$1000 了,那时候多少?
    不过我们的数据现在看来是不值$200 的,所以我们不打算赎回了。。。
        7
    raptor   48 天前
    两周不设密码……已经算运气很好了……
        8
    tabris17   48 天前
    不加密码开放公网访问,别说你连备份都没有啊
        9
    shiny   48 天前
    @ilaipi 现在都是批量黑的,大鱼小鱼虾米一起抓。只勒索 0.2 BTC 就可以看出来只是针对小公司的。稍微大点的公司都会有人意识到这个问题。
        10
    luluuulu4848   48 天前
    13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq 这个是什么意思
        11
    CloudnuY   48 天前
    @luluuulu4848 比特币钱包的地址
        12
    davidyin   48 天前
    开门揖盗,只能说习惯不好。
        13
    coderluan   48 天前
    @luluuulu4848 比特币客户端的收款地址,不是唯一的,比特币为了保持不可追踪性弄的
        14
    bsxsb   47 天前
    哥们,你的情况和我的一样,那狗日的邮箱也是假的,我写了一个邮件骂那狗日的,发不过去,投递失败
        15
    yanzixuan   47 天前
    mongo 默认只能本地访问。。你开了远程端口不设密码,这不是引诱别人来搞你么?
        16
    rogerchen   47 天前
    @bsxsb 这种批量黑的肯定不讲究啊,钱都到手了何必浪费人力给你复原。
        17
    phrack   47 天前 via Android
    这安全意识也是没谁了
        18
    ericls   47 天前
    @coderluan 比特币最大的特性就是每笔交易都可追踪。。。。。
        19
    P0P   47 天前
    @ericls 每笔交易可以被其他 peer 证明,但是不能把钱包 address 跟用户联系起来,所有具有匿名性。
        20
    coderluan   47 天前
    @ericls

    我指资金去向不可追踪,否则黑客也不会选它了,另外这个特性怎么也算不上“最大”吧。
        21
    ericls   47 天前 via iPhone
    @coderluan

    @P0P

    匿名和不可追踪可不一样

    Block chain 解决的不就是 traceability
        22
    ilaipi   47 天前 via iPhone
    @yanzixuan 开远程是方便自己啊!
        23
    ilaipi   47 天前 via iPhone
    @rogerchen 我以为他们会有职业道德
        24
    SlipStupig   47 天前
    @coderluan bitc 每笔交易记录和交易数据流都可以监控,当然你用 BTC+Tor 难度就指数增长
        25
    realpg   47 天前
    虽然有点不太人道,我仍然控制不住自己对 LZ 说: 该!
        26
    neoblackcap   47 天前
    数据库为什么要放在外网? redis ,数据库, mq 不是都应该放在防火墙后面吗?不是都应该只能内网访问吗?
        27
    yunshansimon   47 天前 via iPad
    mongodb 打开外网监听端口,还不设密码,你是诚心黑你们老板的?
        28
    ilaipi   47 天前 via iPhone
    @realpg 确实是该!
        29
    ilaipi   47 天前 via iPhone
    @neoblackcap 是啊,都“应该”!
        30
    blueandhack   47 天前
    @timothyye 大叔这是不是你的同事?
        31
    yangjunalns0   47 天前
    我擦,也黑了我的,就在晚上 8 点多,妈蛋,现在都没找到方法恢复,,,
        32
    SharkIng   47 天前 via iPhone
    @bsxsb 如果没记错这个应该是 tor 内网邮箱吧?好像外网邮件发不进去
        33
    j5shi   47 天前 via iPhone
    @vus520 这也得看被黑的数据的价值,这种数据开口 100BTC ,只能被呵呵了
        34
    slwl   47 天前
    是不是 bind 127.0.0.1 就不会出现这个情况了?
        35
    timothyye   47 天前 via Android
    哈哈,我们的库也是这样,同一个人干的,不过黑的是我们的测试数据库而已
        36
    annielong   47 天前
    现在 sql 弱口令扫描天天都一波一波的,实在是受不了,封都封不完
        37
    ilaipi   47 天前
    @annielong 这个用的是 sql 弱口令 吗?求科普
        38
    TimLang   47 天前
    最简单的方法用 navicat 的话,直接用 ssh 去连接数据库啊,自己查查手册,应该一般的 sql 客户端都支持的吧。
        39
    chloerei   47 天前 via iPhone
    我也中过招, ubuntu 的包默认限定本地访问, mongo 的包默认不设限制。默认不设限制,就是不考虑自己的程序会不会被入门的、没有安全意识的个人或公司用到。

    后来我不用 Mongo 了。
        40
    rpdict   47 天前
    上个月 MySQL 密码太弱,表被删了个溜干净,还好里面就我一个测试账号
        41
    vzyw   47 天前
    @slwl
    同问,是不是 bind 127.0.0.1 外网就连不上了
        42
    wildcat007   47 天前
    现在都是脚本自动化了,各种黑科技。 iptables 策略弄好呀~
        43
    AlisaDestiny   47 天前
    哎。万一里面真的有重要数据呢?那给了钱还不给恢复那不就 GG 了。
        44
    Quaintjade   47 天前
    自己访问的话弄个跳板机啊,数据库限定只有 127.0.0.1, ::1 以及跳板机 IP 能访问。
    跳板机搭 VPN 还是带认证代理就随意了。
        45
    zoues   47 天前 via iPhone
    数据库难道不限制内网或者 localhost ?
        46
    ilaipi   47 天前
    @TimLang 难道 navicat 真的可以访问 mongo ?
    不过我用的 mongo client 确实是支持 ssh 的。
        47
    ilaipi   47 天前
    已经设置了比较复杂的密码,暂时先这样,同时也启用了每天备份。

    现在 mongo 的用户策略是:
    建了一个有 userAdminAnyDatabase 的用户,然后给每个 db 分别创建一个 readWrite 角色的用户。
        48
    bianchensz   46 天前
    @AlisaDestiny 一般都是给钱不给恢复的。拿到钱了谁还管你
        49
    imeilige   45 天前
    ![Imgur]( )
        50
    ilaipi   45 天前
    @imeilige mail 和 note 一毛一样啊!
        51
    zola   43 天前
    这个家伙赚了 3.42 比特币了:
    https://blockchain.info/address/13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
    13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
    Total Received: 3.42602434
        52
    h8zy   43 天前
    请问有交过赎金数据恢复的伙伴吗
        53
    miaomiaoweiwei   35 天前
    @h8zy 他登录执行的是 drop 操作,别傻了,哪会给你保存什么数据
        54
    miaomiaoweiwei   35 天前
    你查的 mongo 的操作记录的日志,是在 local 里面查么?
        55
    ilaipi   35 天前
    @miaomiaoweiwei 你说的 local 是哪里?我指定了 mongo 的日志文件`/var/log/xxxx/mongo.log`
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   2182 人在线   最高记录 2447   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.7.5 · 68ms · UTC 09:12 · PVG 17:12 · LAX 01:12 · JFK 04:12
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1