5 Questão: Verificando meu MongoDB e obtendo um dbs incomum

pergunta criada em Wed, May 8, 2019 12:00 AM

Então, hoje eu estava no meu MongoDB e eu digite show dbs. Além do meu dbs usual há um hacked_by_unistellar adicional. Alguém pode saber o que posso fazer aqui? Parece que eu fui hackeado a menos que este seja um terrível ovo de páscoa que eu já vi. Por favor informar. Obrigado.

    
2
5 Respostas                              5                         

Tivemos o mesmo problema hoje em nosso MongoDB. Um banco de dados apareceu chamado "hacked_by_unistellar". Quais foram as suas circunstâncias? Você tem logs?

    
1
2019-05-08 17: 52: 57Z
  1. Meu banco de dados inteiro foi limpo. Meus logs não mostram nada fora do comum e até cerca de 2 horas atrás.
    2019-05-08 18: 36: 38Z
  2. Como você planeja seguir em frente?
    2019-05-08 18: 42: 52Z
  3. O mesmo aqui, todos os meus dbs desapareceram.
    2019-05-08 20: 19: 48Z
  4. O mais estranho é que não temos nenhum link entre nós. Eu acho que pode ter sido um dia zero. Qual host você está hospedado? EDIT: este artigo ( kiber.blog .hu /2019/05/09 /… foi publicado hoje e ele diz que o nosso mongo não tem identificadores. É o meu caso.
    2019-05-09 13: 11: 12Z

você deve fechar o mongoDB padrão Port 27017. Obteve o mesmo problema

    
1
2019-05-09 15: 04: 32Z

Também tive o mesmo em um servidor de backup antigo.

Tudo o que posso dizer é que não está relacionado a uma porta mongodb aberta e pública. O servidor mongo está rodando apenas no host local, mas não tem senha de acesso (no FreeBSD 12).

Obviamente, executar com uma porta padrão pública e sem senha é exatamente o que é, mas essa não é a resposta.

As únicas portas abertas no servidor são SSH, 80/443 (executando Apache 2.4.x) e um serviço de nó na porta 3xxx, junto com o Mongo Express (também protegido por senha).

Existe também um servidor MySQL instalado sem senha, ligado somente ao host local, mas que permaneceu intocado.

Parece mais provável que isso seja uma vulnerabilidade em outro lugar, que é a exploração de uma conexão local não protegida para o mongodb.

A proteção de senha do mongo pode proteger o banco de dados, mas não identifica o ponto de acesso, o que é preocupante.

    
1
2019-05-12 14: 17: 55Z

Todos os meus dados sumiram!

Bem, minha única ação agora é fechar mais conexões abertas à minha instância de banco de dados. Meu banco de dados exigia uma senha para acesso (por isso, não ter senha não era o problema).

No entanto, acabei de adicionar um Firewall Básico para aumentar um pouco a segurança, pelo menos agora eu posso assumir que nenhum acesso remoto pode se conectar diretamente à minha instância de banco de dados.

Eu segui este tópico

Ir para a seção Etapa 7 - Configurar um firewall básico da postagem.

https: //www.digitalocean .com /community /tutorials /initial-server-setup-with-ubuntu-16-04


Além disso,você pode permitir apenas alguns endereços IP para suas instâncias de banco de dados. Seguindo as instruções em https: //www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules

Eu uso isso pessoalmente na minha instância principal, onde confio que as conexões viriam apenas de um IP.


Espero que isso ajude alguém temporariamente até que uma correção melhor apareça.

    
1
2019-05-13 20: 37: 57Z
  1. Vou tentar agora. Depois de fechar as portas e adicionar uma senha, meu banco de dados foi limpo novamente. Espero que este firewall funcione.
    2019-05-13 15: 03: 56Z
  2. @ AndyNguyen Atualizei meu post. Tente o outro link também.
    2019-05-13 20: 39: 13Z

Sua senha do MongoDB é protegida? se assim for, você pode acessar o banco de dados com apenas um endereço IP e a porta.

Se o seu MongoDB não estiver protegido por senha, faça o mais cedo possível! suas informações estão expostas a todos ...

Até mesmo grandes empresas cometem esse erro de vez em quando ...

    
0
2019-05-09 20: 41: 58Z
fonte colocada Aqui