5 Frage: Ich überprüfe meine MongoDB und erhalte eine ungewöhnliche Datenbank

Frage erstellt am Wed, May 8, 2019 12:00 AM

Also war ich heute in meiner MongoDB und tippe show dbs ein. Außer meiner üblichen Datenbank gibt es eine zusätzliche hacked_by_unistellar. Weiß vielleicht jemand, was ich hier tun kann? Es klingt so, als wäre ich gehackt worden, es sei denn, dies ist ein schreckliches Osterei, auf das ich gestoßen bin. Bitte beraten. Vielen Dank.

    
2
5 Antworten                              5                         

Wir hatten heute das gleiche Problem mit unserer MongoDB. Es wurde eine Datenbank mit dem Namen "hacked_by_unistellar" angezeigt. Unter welchen Umständen waren Sie? Haben Sie Protokolle?

    
1
2019-05-08 17: 52: 57Z
  1. Meine gesamte Datenbank wurde bereinigt. Meine Protokolle zeigen bis vor ungefähr 2 Stunden nichts Außergewöhnliches an.
    2019-05-08 18: 36: 38Z
  2. Wie wollen Sie vorankommen?
    2019-05-08 18: 42: 52Z
  3. Hier sind alle meine DBs verschwunden.
    2019-05-08 20: 19: 48Z
  4. Das Seltsame ist, dass wir keine Verbindung zwischen uns haben. Ich denke, es könnte einen Zero-Day gegeben haben. Bei welchem ​​Gastgeber wohnst du? BEARBEITEN: Dieser Artikel () wurde heute veröffentlicht und er sagt, dass unser Mongo keine Identifikatoren hat. Das ist mein Fall.
    2019-05-09 13: 11: 12Z

Sie sollten Ihren Standard-MongoDB-Port 27017 schließen. Habe das gleiche Problem

    
1
2019-05-09 15: 04: 32Z

Ich hatte das gleiche auch auf einem alten Sicherungsserver.

Ich kann nur sagen, dass es sich nicht um einen offenen, öffentlichen Mongodb-Port handelt. Der Mongo-Server läuft nur auf localhost, hat jedoch kein Zugriffskennwort (unter FreeBSD 12).

Es ist offensichtlich, dass die Ausführung mit einem öffentlichen Standardport und keinem Passwort genau das ist, was es ist, aber das ist nicht die Antwort.

Die einzigen offenen Ports auf dem Server sind SSH, 80/443 (unter Apache 2.4.x) und ein Knotendienst an Port 3xxx sowie Mongo Express (ebenfalls kennwortgeschützt).

Es ist auch ein MySQL-Server ohne Kennwort installiert, der nur an localhost gebunden ist, der jedoch nicht geändert wurde.

Es ist wahrscheinlicher, dass dies eine Sicherheitsanfälligkeit ist, die eine nicht geschützte lokale Verbindung zu Mongodb ausnutzt.

Das Kennwort, das mongo schützt, schützt möglicherweise die Datenbank, identifiziert jedoch nicht den Zugriffspunkt, was besorgniserregend ist.

    
1
12.05.2019 14: 17: 55Z

Alle meine Daten sind weg!

Nun, meine einzige Aktion ist jetzt, alle offenen Verbindungen zu meiner DB-Instanz zu schließen. Für den Zugriff auf meine Datenbank war ein Kennwort erforderlich (das Problem bestand also nicht darin, dass ich kein Kennwort hatte).

Ich habe jedoch gerade eine Basisfirewall hinzugefügt, um die Sicherheit ein wenig zu verbessern. Jetzt kann ich davon ausgehen, dass kein Remotezugriff direkt auf meine DB-Instanz zugreifen kann.

Ich bin diesem Thread gefolgt

Wechseln Sie zu Schritt 7 - Einrichten einer Basis-Firewall im Beitrag.

https: //www.digitalocean .com /community /tutorials /initiales-server-setup-mit-ubuntu-16-04


AuchSie können Ihren DB-Instanzen nur einige IP-Adressen erlauben. Folgen Sie den Anweisungen unter https: //www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules

Ich benutze dies persönlich in meiner Hauptinstanz, in der ich vertraue, dass Verbindungen nur von einer IP stammen.


Hoffe, dies hilft jemandem vorübergehend, bis eine bessere Lösung gefunden wird.

    
1
13.05.2019 20: 37: 57Z
  1. Ich werde es jetzt versuchen. Nach dem Schließen der Ports und dem Hinzufügen eines Passworts wurde meine Datenbank erneut gelöscht. Ich hoffe, diese Firewall funktioniert.
    13.05.2019, 15: 03: 56Z
  2. @ AndyNguyen Ich habe meinen Beitrag aktualisiert. Probieren Sie auch den anderen Link.
    13.05.2019 20: 39: 13Z

Sind Ihre MongoDB-Passwörter geschützt? In diesem Fall können Sie nur mit einer IP-Adresse und dem Port auf die Datenbank zugreifen.

Wenn Ihre MongoDB nicht passwortgeschützt ist, machen Sie es bitte so schnell wie möglich! Ihre Daten sind für alle sichtbar ...

Auch große Unternehmen machen von Zeit zu Zeit diesen Fehler ...

    
0
2019-05-09 20: 41: 58Z
Quelle platziert Hier