mongodb数据库被比特币勒索者删除了
发布于 1 个月前 作者 sylarmeng 1329 次浏览 来自 问答

我十号买了腾讯的linux服务器,然后配置了一个测试应用。今晚测试时突然发现账户数据都没了,看了下mongodb的log,发现居然数据库被删除了,还有比特币勒索者留下的信息。坑爹的,威胁不付钱每24小时就删除数据库。查询勒索IP是罗马尼亚的。

这个服务器的mongodb我除了最开始安装时,试用ssh tunnel连接,屏蔽了bindip,没做其他操作。 请问这个局要怎么破?怎么增加服务器的安全性? 下面是截取的删除那一段的日志。

2017-07-19T21:01:23.635+0800 I NETWORK [thread1] connection accepted from 185.163.109.66:42529 #3 (3 connections now open) 2017-07-19T21:01:56.319+0800 I - [conn3] end connection 185.163.109.66:42529 (3 connections now open) 2017-07-19T21:09:16.468+0800 I NETWORK [thread1] connection accepted from 185.170.42.4:60210 #4 (3 connections now open) 2017-07-19T21:09:18.606+0800 I COMMAND [conn4] dropDatabase admin starting 2017-07-19T21:09:18.658+0800 I COMMAND [conn4] dropDatabase admin finished 2017-07-19T21:09:18.658+0800 I COMMAND [conn4] setting featureCompatibilityVersion to 3.2 2017-07-19T21:09:20.102+0800 I COMMAND [conn4] dropDatabase local starting 2017-07-19T21:09:20.103+0800 I COMMAND [conn4] dropDatabase local finished 2017-07-19T21:09:21.612+0800 I COMMAND [conn4] dropDatabase wecatering starting 2017-07-19T21:09:21.687+0800 I COMMAND [conn4] dropDatabase wecatering finished 2017-07-19T21:09:23.010+0800 I COMMAND [conn4] command DATA_REQUEST.DATA_REQUEST command: insert { insert: “DATA_REQUEST”, documents: [ { email: "textme@secmail.pro", btc_wallet: “1KWAdZBAYFPtN38QxLPAzKV3SmzHeGrDLE”, note: "Your DB is in safety and backed up (check logs). To restore send 0.1 BTC and email with your server ip or domain name.

Each 24 hours we erase all data.

", _id: ObjectId(‘596f5a01b9695801b5214314’) } ], ordered: true } ninserted:1 keysInserted:1 numYields:0 reslen:44 locks:{ Global: { acquireCount: { r: 3, w: 3 } }, Database: { acquireCount: { w: 2, W: 1 } }, Collection: { acquireCount: { w: 2 } } } protocol:op_query 122ms 2017-07-19T21:09:23.691+0800 I - [conn4] end connection 185.170.42.4:60210 (3 connections now open)

12 回复

这个一般是要不回来了,想想其他办法吧,给钱没用

捞捞看备份,实在不行就放弃吧。。。mongodb 开密码 ssh 关闭密码访问 / 换端口 iptables 限制暴露的端口

@csvwolf 数据现在只是测试,不重要,以后部署的话就得注意了。暂时先bindIp,iptables再检查下看看。

我之前的被删是因为iptables没过滤掉1W以上的端口。。。。

@AnzerWall
给钱有可能有用的。上次我朋友数据库被删,给钱后就拿回来了,也是要比特币的。

前段时间我也被删除了, 应该是因为mongodb配置问题, auth: true并没有生效. 写了一篇相关文章: https://blog.suisuijiang.com/linux-server-security-config/ , 欢迎查漏补缺

开启 Auth 啊,这种勒索都是群扫的,不会专门去破解你的密码。

然后做一个定时自动备份:https://brickyang.github.io/2017/03/02/Linux-自动备份-MongoDB/

对这种群扫的基本就够用了 From Noder

@brickyang 刚开了auth,看看今晚还会不会有问题。

为嘛mongodb 监听外网端口?
iptables搞不定, 换个Ubuntu 的ufw 简单几行命令即可

@sylarmeng 别忘了检查下 auth 确实生效。比如你改了配置文件,也还要加上 --auth 重启一下。 From Noder

@brickyang加了auth就ok了!

@sylarmeng 建议再做一个备份。其实我之前也被删库了(然后才发现没开 auth…不过还不是正式环境),因为有备份,根本不理他们。每天一个备份,遇到什么问题也不慌 From Noder

回到顶部