记录一次MongoDB被攻击、删库的经历

摘要:MongoDB遭到恶意攻击,数据库被删,还留下了勒索信息

项目中使用MongoDB的gridfs做文件服务器,最近新上的一个项目,一周内两次发现上传的文件丢失,一直没找到原因。今天又遇到文件丢失的问题,连上MongoDB一看,原来是数据遭遇了“绑架”:

攻击者留下了一个数据库,里面留了一段话:

All your data is a backed up. You must pay 0.015 BTC to lMRQvqnwp5gs8PhrSMySQh5YQmpybqexRP 48 hours for recover it. After 48 hours expiration we will leaked and exposed all your data. In case of refusal to pay, we will contact the General Data Protection Regulation, GDPR and notify them that you store user data in an open form and is not safe. Under the rules of the law, you face a heavy fine or arrest and your base dump will be dropped from our server! You can buy bitcoin here, does not take much time to buy https://localbitcoins.com with this guide https://localbitcoins.com/guides/how-to-buy-bitcoins After paying write to me in the mail with your DB IP: restore_base@tutanota. com”

当时第一反应是:中勒索病毒了!

因为前几年遇到过类似的病毒,下面这张图片还有印象吗?

上网搜了一下,原来也有人有过同样的遭遇:https://blog.csdn.net/huyuyang6688/article/details/106651629

我们跟他一样,MongoDB使用的是默认的端口27017,而且没设置用户名密码,唯一不同的是端口只对公司ip开放了(客户说的),然而查看日志后发现,有美国、德国、新加坡等多个国家的登录记录。看来此端口并不只是对我们公司ip开放。

好在项目刚启动,里面都是些不重要的数据,接下来将服务器重置,然后重新安装MongoDB,并做好安全策略。在此记录一下,以后一定要有安全意识。