5 Question: Vérifier ma MongoDB et obtenir un dbs inhabituel

question créée à Wed, May 8, 2019 12:00 AM

Donc, aujourd’hui, j’étais dans ma MongoDB et j’ai tapé le show dbs. Hormis mon db habituel, il existe un 06003509911110010103506 supplémentaire. Quelqu'un pourrait-il savoir ce que je peux faire ici? On dirait que j'ai été piraté à moins que ce ne soit un terrible œuf de Pâques que je connaisse. S'il vous plaît donnez votre avis. Merci.

    
2
5 réponses                              5                         

Nous avons eu le même problème aujourd'hui sur notre MongoDB. Une base de données est apparue appelée "hacked_by_unistellar". Quelles étaient vos circonstances? Avez-vous des journaux?

    
1
2019-05-08 17: 52: 57Z
  1. Toute ma base de données a été nettoyée. Mes journaux ne montrent rien d’extraordinaire et il ya environ 2 heures.
    2019-05-08 18: 36: 38Z
  2. Comment comptez-vous aller de l'avant?
    2019-05-08 18: 42: 52Z
  3. Pareil, toutes mes bases sont parties.
    2019-05-08 20: 19: 48Z
  4. Ce qui est étrange, c'est que nous n'avons aucun lien entre nous. Je pense qu'il y a peut-être eu un jour zéro. Avec quel hôte restez-vous? EDIT: cet article ( 2019-05-09 13: 11: 12Z

vous devriez fermer votre port mongoDB par défaut 27017. Vous rencontrez le même problème

    
1
2019-05-09 15: 04: 32Z

J'ai eu la même chose sur un ancien serveur de sauvegarde.

Tout ce que je peux dire, c’est qu’il n’est pas lié à un port public et ouvert mongodb. Le serveur Mongo ne fonctionne que sur localhost, mais n’a pas de mot de passe d’accès (sous FreeBSD 12).

Évidemment, fonctionner avec un port par défaut public sans mot de passe est exactement ce que c'est, mais ce n'est pas la solution.

Les seuls ports ouverts sur le serveur sont SSH, 80/443 (exécutant Apache 2.4.x) et un service de nœud sur le port 3xxx, ainsi que Mongo Express (également protégé par mot de passe).

Un serveur MySQL est également installé sans mot de passe, lié à localhost uniquement, mais il n’a pas été modifié.

Il semble plus probable qu'il s'agisse d'une vulnérabilité ailleurs qui exploite une connexion locale non protégée à mongodb.

La protection par mot de passe mongo peut protéger la base de données, mais ne permet pas d'identifier le point d'accès, ce qui est inquiétant.

    
1
2019-05-12 14: 17: 55Z

Toutes mes données ont disparu!

Eh bien, ma seule action consiste maintenant à fermer toutes les connexions ouvertes vers mon instance de base de données. Il fallait un mot de passe pour accéder à ma base de données (le problème n'était donc pas le cas).

Cependant, je viens d'ajouter un pare-feu de base pour renforcer légèrement la sécurité. Du moins, je peux maintenant supposer qu'aucun accès distant ne peut se connecter directement à mon instance de base de données.

J'ai suivi ce fil

Aller à la Étape 7 - Configurer un pare-feu de base dans la publication.

https: //www.digitalocean .com /community /tutorials /initial-server-setup-with-ubuntu-16-04

Aussi,vous ne pouvez autoriser que certaines adresses IP sur vos instances de base de données. En suivant les instructions fournies par https: //www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules

J'utilise cela personnellement sur mon instance principale, où les connexions ne proviennent que d'une seule adresse IP.

J'espère que cela aidera temporairement quelqu'un jusqu'à ce qu'une meilleure solution apparaisse.

    
1
2019-05-13 20: 37: 57Z
  1. Je vais essayer ceci maintenant. Après la fermeture des ports et l'ajout d'un mot de passe, ma base de données a été effacée à nouveau. J'espère que ce pare-feu fonctionnera.
    2019-05-13 15: 03: 56Z
  2. @ AndyNguyen J'ai mis à jour mon message. Essayez également l’autre lien.
    2019-05-13 20: 39: 13Z

Votre mot de passe MongoDB est-il protégé? Si tel est le cas, vous pouvez accéder à la base de données avec uniquement une adresse IP et le port.

Si votre MongoDB n’est pas protégé par mot de passe, veuillez le faire dès que possible! vos informations sont exposées à tout le monde ...

Même les grandes entreprises font cette erreur de temps en temps aussi ...

    
0
2019-05-09 20: 41: 58Z
hacked_by_unistellar
source placée ici