记一次数据库被黑事件

This topic created in 3397 days ago, the information mentioned may be changed or developed.

发现网站数据没了，登陆服务器，进入数据库一看，知道被黑了，还留了一份 PLEASE_READ_ME 数据库。赶紧连进去看了一下，勒索 bitcon ，看图。

然后 google 了一圈这个邮箱，发现中招的不少。
https://www.digitalocean.com/community/questions/my-mongodb-has-been-extorted-by-a-kraken-ransomware-virus

其实阿里云发了多次邮件提醒此版本 mongodb 有权限漏洞，没当一回事。
比那位 mysql 童鞋幸运一点，我有原始数据，重新洗一份。

建议 1:mongodb 数据库同学赶紧补救： https://segmentfault.com/a/1190000008125069
建议 2:不要付款，查询数据库操作日志，直接删除的数据，没有备份，所以钱转了估计也不会给你恢复数据的

数据库

MongoDB

数据

MySQL

7 replies • 2017-02-06 15:24:35 +08:00

PixelCode

Feb 4, 2017

懵逼链接： https://www.v2ex.com/t/338057#reply31

wildcat007

Feb 4, 2017

你这个是 mongodb 没有设置账户密码吧？····

songdezu

Feb 5, 2017

楼主方法没啥用，只允许堡垒机 ssh 登陆 db 是最安全的

freestyle

Feb 5, 2017

@songdezu 堡垒机

PixelCode

Feb 6, 2017

阿里云官方发布的： https://help.aliyun.com/knowledge_detail/37451.html

PixelCode

Feb 6, 2017

@wildcat007

近日安全团队经检测发现部分阿里云用户存在 MongoDB 数据库未授权访问漏洞，漏洞危害严重，可以导致数据库数据泄露或被删除勒索，从而造成严重的生产事故。为保证您的业务和应用的安全，提供以下修复漏洞指导方案。

具体漏洞详情如下：

1.漏洞危害

开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。

2.漏洞成因

在刚安装完毕的时候 MongoDB 都默认有一个 admin 数据库,此时 admin 数据库是空的,没有记录权限相关的信息！当 admin.system.users 一个用户都没有时，即使 mongod 启动时添加了— auth 参数,如果没有在 admin 数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以— auth 参数启动),直到在 admin.system.users 中添加了一个用户。加固的核心是只有在 admin.system.users 中添加用户之后， mongodb 的认证,授权服务才能生效。

krisbai

Feb 6, 2017

安全意识太薄弱！