5 Pytanie: Sprawdzanie mojego MongoDB i zdobywanie niezwykłego dbs

pytanie utworzone w Wed, May 8, 2019 12:00 AM

Więc dzisiaj byłem w moim MongoDB i wpisuję show dbs. Poza moimi zwykłymi dbs jest jeszcze hacked_by_unistellar. Ktoś może wiedzieć, co mogę tutaj zrobić? Wygląda na to, że zostałem zhakowany, chyba że to jakieś okropne jajko wielkanocne, na które się natknąłem. Proszę doradź. Dziękuję.

    
2
5 odpowiedzi                              5                         

Mieliśmy dzisiaj ten sam problem w naszym MongoDB. Pojawiła się baza danych o nazwie „hacked_by_unistellar”. Jakie były twoje okoliczności? Czy masz logi?

    
1
2019-05-08 17: 52: 57Z
  1. Moja cała baza danych została wyczyszczona. Moje dzienniki nie pokazują niczego niezwykłego i do około 2 godzin temu.
    2019-05-08 18: 36: 38Z
  2. Jak zamierzasz iść do przodu?
    2019-05-08 18: 42: 52Z
  3. To samo, wszystkie moje dbs zniknęły.
    2019-05-08 20: 19: 48Z
  4. Dziwne jest to, że nie mamy między nami żadnego połączenia. Myślę, że mógł istnieć dzień zero. Z którym hostem się zatrzymujesz? EDYTUJ: ten artykuł ( kiber.blog .hu /2019/05/09 /… ) został opublikowany dzisiaj i mówi, że nasze mongo nie ma identyfikatorów. To moja sprawa.
    2019-05-09 13: 11: 12Z

powinieneś zamknąć domyślny port mongoDB 27017. Masz ten sam problem

    
1
2019-05-09 15: 04: 32Z

Miałem to samo na starym serwerze kopii zapasowych.

Wszystko, co mogę powiedzieć, to to, że nie jest związane z otwartym, publicznym portem mongodb. Serwer mongo działa tylko na localhost, ale nie ma hasła dostępu (w FreeBSD 12).

Oczywiście uruchamianie z domyślnym portem publicznym i brak hasła jest tym, czym jest, ale to nie jest odpowiedź.

Jedyne otwarte porty na serwerze to SSH, 80/443 (z uruchomionym Apache 2.4.x) i usługa węzłowa na porcie 3xxx, wraz z Mongo Express (również chronione hasłem).

Istnieje również zainstalowany serwer MySQL bez hasła, powiązany tylko z localhost, ale pozostał niezmieniony.

Wydaje się bardziej prawdopodobne, że jest to luka w innym miejscu, która polega na wykorzystaniu niechronionego połączenia lokalnego do mongodb.

Hasło chroniące mongo może chronić bazę danych, ale nie identyfikuje punktu dostępu, co jest niepokojące.

    
1
2019-05-12 14: 17: 55Z

Wszystkie moje dane zniknęły!

Moim jedynym działaniem jest teraz zamknięcie bardziej otwartych połączeń z moją instancją bazy danych. Moja baza danych wymagała hasła dostępu (więc bycie bez hasła nie było problemem).

Jednak właśnie dodałem Basic Firewall, aby podnieść poziom zabezpieczeń, przynajmniej, teraz mogę założyć, że żaden zdalny dostęp nie może połączyć się bezpośrednio z moją instancją DB.

Śledziłem ten wątek

Przejdź do kroku siódmego - skonfiguruj zaporę podstawową część wpisu.

https: //www.digitalocean .com /community /tutorials /initial-server-setup-with-ubuntu-16-04


Również,możesz zezwolić tylko niektórym adresom IP na instancje DB. Postępując zgodnie z instrukcjami podanymi na https: //www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules

Używam tego osobiście w mojej głównej instancji, w której ufam, że połączenia będą przychodzić tylko z jednego IP.


Mam nadzieję, że pomoże to komuś tymczasowo, dopóki nie pojawi się lepsza poprawka.

    
1
2019-05-13 20: 37: 57Z
  1. Spróbuję tego teraz. Po zamknięciu portów i dodaniu hasła moja baza danych została ponownie wyczyszczona. Mam nadzieję, że ta zapora sieciowa działa.
    2019-05-13 15: 03: 56Z
  2. @ AndyNguyen Zaktualizowałem swój post. Wypróbuj również inny link.
    2019-05-13 20: 39: 13Z

Czy twoje hasło MongoDB jest chronione? jeśli tak, możesz uzyskać dostęp do bazy danych tylko z adresem IP i portem.

Jeśli twój MongoDB nie jest chroniony hasłem, zrób to jak najszybciej! Twoje informacje są widoczne dla wszystkich ...

Nawet duże firmy popełniają ten błąd od czasu do czasu ...

    
0
2019-05-09 20: 41: 58Z
źródło umieszczone tutaj