V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LinkedIn
q1104408991
V2EX  ›  DevOps

好惨啊~~~~

  •  
  •   q1104408991 · 2020-05-26 10:44:16 +08:00 · 6361 次点击
    这是一个创建于 852 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早上来公司发现 mysql 被删了...只留下了比特币地址和邮箱.搜地址和数据库关键词发现这几天有好多人中招....现在恢复了表....做了自动快照,宝塔后台也开通了网站防火墙,修改了数据库密码,限制了指定 ip 登录.....不知道有没有用,有大佬有类似的经验么,这种会不会来第二次

    35 条回复    2020-12-08 09:03:32 +08:00
    kop1989
        1
    kop1989  
       2020-05-26 10:47:45 +08:00   ❤️ 11
    现在的病毒一点灵魂都没有,就知道打钱……
    mccreefei
        2
    mccreefei  
       2020-05-26 10:56:09 +08:00
    是不是 mysql 允许外网访问了
    q1104408991
        3
    q1104408991  
    OP
       2020-05-26 11:15:17 +08:00
    @mccreefei 是....开放了全部 ip 访问,现在已经关闭了
    gabezhao
        4
    gabezhao  
       2020-05-26 11:21:54 +08:00   ❤️ 2
    我要在你的腿上写一个大大的惨字
    chairuosen
        5
    chairuosen  
       2020-05-26 11:23:25 +08:00
    数据库敢开外网。。。NB
    alienx717
        6
    alienx717  
       2020-05-26 11:25:35 +08:00
    留了个 email 么
    q1104408991
        7
    q1104408991  
    OP
       2020-05-26 11:27:27 +08:00
    @alienx717 留了一个比特币地址,还有一个邮箱
    pengjay
        8
    pengjay  
       2020-05-26 11:31:31 +08:00
    测试服曾经中过招。。。
    fixend
        9
    fixend  
       2020-05-26 11:35:58 +08:00
    服务器什么版本? mysql 版本呢?这个是 mysql 漏洞导致的吗?
    lbmjsls1
        10
    lbmjsls1  
       2020-05-26 11:41:12 +08:00 via Android
    php?
    fenrao
        11
    fenrao  
       2020-05-26 11:43:57 +08:00
    同惨啊,也是最近几天中招了,不过我的是测试服务器,我个人用来测试的,大意了,今天想用的时候发现数据库表都没了,也是只留比特币和付款网站
    mccreefei
        12
    mccreefei  
       2020-05-26 11:46:10 +08:00
    我自己服务器开过外网访问也中过,关闭外网访问一般就没事了
    https://imgur.com/wFckoTY
    fanyingmao
        13
    fanyingmao  
       2020-05-26 11:51:26 +08:00 via Android
    最后付不付呢?话说以前也进过别人数据库 也想到可以这么干。
    ZSeptember
        14
    ZSeptember  
       2020-05-26 11:53:43 +08:00
    太惨了吧,,,以前的公司也经历过,mongo 。
    安全无小事啊。
    q1104408991
        15
    q1104408991  
    OP
       2020-05-26 11:56:27 +08:00
    @fanyingmao 不付,因为我查看 log 的时候发现他执行的是 drop 操作....完全就是为了骗钱
    q1104408991
        16
    q1104408991  
    OP
       2020-05-26 11:57:29 +08:00
    @fixend 服务器是阿里云的 win10 2016 数据版 mysql 是 5.5 应该不是漏洞导致的 完全是我傻....开放了所有 ip 访问
    wtks1
        17
    wtks1  
       2020-05-26 11:57:44 +08:00 via Android
    开放外网访问,好歹用防火墙限定一下 IP 啊
    q1104408991
        18
    q1104408991  
    OP
       2020-05-26 11:57:53 +08:00
    @mccreefei 买了宝塔的网站防火墙服务.希望没有第二次了
    q1104408991
        19
    q1104408991  
    OP
       2020-05-26 11:59:51 +08:00
    @ZSeptember 嗯嗯,数据库特别要注意一下
    ilaipi
        20
    ilaipi  
       2020-05-26 11:59:59 +08:00
    应该是开放 ip + 默认端口 + 简单密码吧?
    revalue
        21
    revalue  
       2020-05-26 12:06:24 +08:00
    吓得我都不敢用 mysql 了
    revalue
        22
    revalue  
       2020-05-26 12:06:35 +08:00
    我纯属无知
    5G
        23
    5G  
       2020-05-26 12:12:35 +08:00   ❤️ 1
    发个邮件:下次记得 Truncate
    Hellert
        24
    Hellert  
       2020-05-26 12:31:55 +08:00
    吓得我赶紧把 MySQL 的外网访问关了
    hst001
        25
    hst001  
       2020-05-26 13:31:37 +08:00
    @fanyingmao #13 比特币勒索的都是直接删数据,你当真攻击者真的会买硬盘给你备份数据吗?付了钱就再损失一笔钱。
    whasyt
        26
    whasyt  
       2020-05-26 14:32:58 +08:00
    @ZSeptember 可以说说 mongo 被删时 ,服务器设置是什么情景吗?
    kisshere
        27
    kisshere  
       2020-05-26 14:37:08 +08:00 via Android
    借个楼问一句,怎么查看 MySQL 是否开启了外网访问权限?
    respect11
        28
    respect11  
       2020-05-26 14:39:48 +08:00
    我用宝塔中过招。就很奇怪,换其他集成环境一点事没有。
    dieser
        29
    dieser  
       2020-05-26 18:12:03 +08:00
    @kisshere
    先到数据库上看下,
    use mysql ;
    select user,host from user;
    看是不是允许所有主机都可以访问
    再到路由器那边看下,有没有设置 NAT,内网服务器端口映射到公网 IP 的某个端口上
    比如 mysql 的服务器 IP 192.168.0.100 端口 3306 公网 IP1.1.1.1 路由器上 NAT1.1.1.1:3306 <->192.168.0.100:3306
    别人就可以通过公网 IP 加端口,访问你内网的数据库了

    楼主的情况应该是开放了 22 端口加弱密码,被人暴力破解了吧。
    opengps
        30
    opengps  
       2020-05-26 19:18:14 +08:00 via Android   ❤️ 1
    这时候得夸一夸 windows 的独占机制,前东家的垃圾运维,连端口防御都没做单位,数据库机器中病毒了,但是因为 windows 的数据库服务一直没停,所以数据库文件躲过了被加密,通过局域网实现了数据救回😃😀😃😀
    mostkia
        31
    mostkia  
       2020-05-26 19:44:12 +08:00
    用 SQLite 的无所畏惧[狗头]
    cumt21g
        32
    cumt21g  
       2020-05-26 22:44:04 +08:00
    @kisshere 你 mysql 是不是监听 0.0.0.0?mysql 所在的机器是不是可以访问外网?
    yukiloh
        33
    yukiloh  
       2020-05-27 03:00:34 +08:00
    顺便问下,我是用 maria10,运营商那儿关闭 3306,然后只允许 localhost+ssh,ssh 禁止密码登录,平时就远程 ssh 上去看数据
    这样子算符合基本要求吗
    ZSeptember
        34
    ZSeptember  
       2020-05-27 09:55:41 +08:00
    @whasyt 17 年的时候,那段时间应该很多 mongo 都中招了。没什么具体设置,就是端口开放外网访问了,被别人扫到了。
    shunconf
        35
    shunconf  
       2020-12-08 09:03:32 +08:00
    竟然用宝塔,很 6
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1294 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 45ms · UTC 17:51 · PVG 01:51 · LAX 10:51 · JFK 13:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.