5 Soalan: Memeriksa MongoDB saya dan mendapat dbs luar biasa

soalan dicipta di Wed, May 8, 2019 12:00 AM

Jadi hari ini saya berada di MongoDB saya dan saya menaip show dbs. Selain dbs biasa saya ada tambahan hacked_by_unistellar. Sesiapa yang mungkin tahu apa yang boleh saya lakukan di sini? Bunyi seperti saya telah diretas kecuali ini adalah telur easter yang dahsyat yang saya jumpai. Sila nasihatkan. Terima kasih.

    
2
5 Jawapan                              5                         

Kami mempunyai masalah yang sama pada hari ini di MongoDB kami. Pangkalan data telah muncul dipanggil "hacked_by_unistellar". Apakah keadaan anda? Adakah anda mempunyai log?

    
1
2019-05-08 17: 52: 57Z
  1. Pangkalan data saya telah dibersihkan. Log saya tidak menunjukkan apa-apa daripada biasa dan sehingga kira-kira 2 jam yang lalu.
    2019-05-08 18: 36: 38Z
  2. Bagaimana anda merancang untuk bergerak ke hadapan?
    2019-05-08 18: 42: 52Z
  3. Sama di sini, semua dbs saya hilang.
    2019-05-08 20: 19: 48Z
  4. Perkara yang pelik ialah kita tidak mempunyai hubungan antara kita. Saya fikir mungkin ada sifar hari. Hos yang anda tinggalkan? EDIT: artikel ini ( kiber.blog .hu /2019/05/09 /... ) telah diposkan hari ini dan dia mengatakan bahawa mongo kita tidak mempunyai pengenal. Ini kes saya.
    2019-05-09 13: 11: 12Z

anda harus menutup lalai mongoDB Port 27017. Mendapat masalah yang sama

    
1
2019-05-09 15: 04: 32Z

Saya mempunyai pelayan sandaran yang sama juga.

Apa yang saya boleh katakan adalah bahawa ia tidak berkaitan dengan port terbuka, awam mongodb. Pelayan monggo menjalankan pada localhost sahaja, tetapi tidak mempunyai kata laluan akses (di bawah FreeBSD 12).

Jelas, berjalan dengan port lalai awam dan tiada kata laluan sama ada ia, tetapi itu bukan jawapannya.

Satu-satunya pelabuhan yang dibuka pada pelayan adalah SSH, 80/443 (menjalankan Apache 2.4.x) dan perkhidmatan nod pada port 3xxx, bersama-sama dengan Mongo Express (juga dilindungi kata laluan).

Terdapat juga pelayan MySQL yang dipasang tanpa kata laluan, terikat kepada localhost sahaja, tetapi tetap tidak disentuh.

Nampaknya lebih cenderung bahawa ini adalah kelemahan di tempat lain, yang mengeksploitasi sambungan lokal yang tidak dilindungi ke mongodb.

Kata laluan melindungi mongo mungkin melindungi pangkalan data, tetapi tidak mengenal pasti titik akses, yang membimbangkan.

    
1
2019-05-12 14: 17: 55Z

Semua data saya hilang!

Nah, tindakan saya sekarang ialah untuk menutup sambungan yang lebih terbuka kepada contoh DB saya. Pangkalan data saya memerlukan kata laluan untuk mengakses (jadi, tanpa kata laluan tidak masalah).

Walau bagaimanapun, saya baru saja menambah Firewall Asas untuk membongkar keselamatan sedikit, sekurang-kurangnya, sekarang saya boleh menganggap tiada akses jauh boleh menyambung terus kepada contoh DB saya.

Saya mengikuti thread ini

Lompat ke bahagian Langkah Tujuh - Sediakan Firewall Asas .

https: //www.digitalocean .com /community /tutorials /initial-server-setup-with-ubuntu-16-04


Juga,anda boleh membenarkan hanya beberapa alamat IP untuk contoh DB anda. Dengan mengikuti arahan di https: //www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules

Saya menggunakan ini secara peribadi pada contoh utama saya di mana saya percaya sambungan akan datang hanya dari satu IP.


Semoga ini membantu seseorang buat sementara waktu sehingga pembaikan yang lebih baik muncul.

    
1
2019-05-13 20: 37: 57Z
  1. Saya akan cuba ini sekarang. Selepas menutup pelabuhan dan menambah kata laluan pangkalan data saya telah dibersihkan sekali lagi. Saya harap firewall ini berfungsi.
    2019-05-13 15: 03: 56Z
  2. @ AndyNguyen Saya mengemas kini pos saya. Cuba pautan lain juga.
    2019-05-13 20: 39: 13Z

Adakah kata laluan MongoDB anda dilindungi? jika ya, anda boleh mengakses Pangkalan Data dengan hanya alamat IP dan pelabuhan.

Jika MongoDB anda tidak dilindungi kata laluan, sila buat seketika! maklumat anda terdedah kepada semua orang ...

Malah syarikat besar melakukan kesilapan ini dari semasa ke semasa juga ...

    
0
2019-05-09 20: 41: 58Z
sumber diletakkan di sini