5 Pregunta: Comprobando mi MongoDB y obteniendo un dbs inusual

pregunta creada en Wed, May 8, 2019 12:00 AM

Así que hoy estuve en mi MongoDB y escribí show dbs. Aparte de mis dbs habituales, hay un hacked_by_unistellar adicional. ¿Alguien podría saber qué puedo hacer aquí? Parece que he sido hackeado a menos que este sea un terrible huevo de Pascua que he encontrado. Por favor avise. Gracias.

    
2
5 Respuestas                              5                         

Hoy tuvimos el mismo problema en nuestro MongoDB. Ha aparecido una base de datos llamada "hacked_by_unistellar". ¿Cuáles fueron tus circunstancias? ¿Tienes registros?

    
1
2019-05-08 17: 52: 57Z
  1. Se ha borrado toda la base de datos. Mis registros no muestran nada fuera de lo común y hasta hace aproximadamente 2 horas.
    2019-05-08 18: 36: 38Z
  2. ¿Cómo planeas seguir adelante?
    2019-05-08 18: 42: 52Z
  3. Igual aquí, todos mis dbs se han ido.
    2019-05-08 20: 19: 48Z
  4. Lo extraño es que no tenemos un vínculo entre nosotros. Creo que puede haber habido un día cero. ¿Con qué anfitrión te estás quedando? EDITAR: este artículo ( 2019-05-09 13: 11: 12Z

debe cerrar su puerto mongoDB predeterminado 27017. Tiene el mismo problema

    
1
2019-05-09 15: 04: 32Z

También tuve lo mismo en un servidor de copia de seguridad antiguo.

Todo lo que puedo decir es que no está relacionado con un puerto mongodb público abierto. El servidor mongo se ejecuta solo en localhost, pero no tiene contraseña de acceso (bajo FreeBSD 12).

Obviamente, ejecutar con un puerto público predeterminado y sin contraseña es solo lo que es, pero esa no es la respuesta.

Los únicos puertos abiertos en el servidor son SSH, 80/443 (ejecutando Apache 2.4.x) y un servicio de nodo en el puerto 3xxx, junto con Mongo Express (también protegido por contraseña).

También hay un servidor MySQL instalado sin contraseña, vinculado solo a localhost, pero que permanece intacto.

Parece más probable que se trate de una vulnerabilidad en otro lugar, que explota una conexión local no protegida a mongodb.

La protección de contraseña mongo puede proteger la base de datos, pero no identifica el punto de acceso, lo que es preocupante.

    
1
2019-05-12 14: 17: 55Z

¡Todos mis datos se han ido!

Bueno, mi única acción ahora es cerrar más conexiones abiertas a mi instancia de base de datos. Mi base de datos requería una contraseña para acceder (por lo tanto, el problema no era sin contraseña).

Sin embargo, acabo de agregar un Firewall básico para aumentar un poco la seguridad, al menos, ahora puedo asumir que ningún acceso remoto puede conectarse directamente a mi instancia de base de datos.

He seguido este hilo

Saltar a Paso siete: configurar un cortafuegos básico parte de la publicación.

https: //www.digitalocean .com /community /tutorials /initial-server-setup-with-ubuntu-16-04


También,solo puede permitir algunas direcciones IP a sus instancias de base de datos. Siguiendo las instrucciones en https: //www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules

Lo uso personalmente en mi instancia principal, en la que confío que las conexiones provendrán solo de una IP.


Espero que esto ayude a alguien temporalmente hasta que surja una mejor solución.

    
1
2019-05-13 20: 37: 57Z
  1. Intentaré esto ahora. Después de cerrar los puertos y agregar una contraseña, mi base de datos se ha borrado una vez más. Espero que este firewall funcione.
    2019-05-13 15: 03: 56Z
  2. @ AndyNguyen Actualicé mi publicación. Prueba el otro enlace también.
    2019-05-13 20: 39: 13Z

¿Su contraseña de MongoDB está protegida? si es así, puede acceder a la base de datos solo con una dirección IP y el puerto.

Si su MongoDB no está protegido con contraseña, ¡hágalo lo antes posible! Tu información está expuesta a todos ...

Incluso las grandes empresas cometen este error de vez en cuando ...

    
0
2019-05-09 20: 41: 58Z
fuente colocada aquí