Mongodb被黑经历

被黑与安全措施

昨晚有人跟我说登录yapi显示用户不存在,我自己尝试了管理员账户也是如此。第一个想到的是会不会数据库掉了,ps aux | grep mongod之后发现仍然在,接着去查看mongodb,看到yapi的数据库显示为(empty),一开始不明白,看了SegmentFault,结果发现自己的情况是一摸一样的,有一个Warning的数据库,里面还有一个Readme表,被黑无疑。

首先要进行反思,为什么会被攻击。首先这种攻击肯定是AOE,对于我们这样的学生项目也没什么必要进行勒索,那么问题往往就出现在自己这里。当我拿到腾讯云学生服务器的时候,其安全组策略是默认开放全部端口,并且我使用了mongodb的默认27017端口,所以如果黑客进行了广撒网式的攻击,这样的安全策略式很容易中招的。另外我记得我开启了mongod的auth模式,应该不是因为我使用了无认证模式导致数据库随便就被黑了。

所以参考Mongodb黑客事件浅析,应当做一些安全措施:
+ 在服务器供应商处关闭不必要对外开放的端口,配置安全组策略
+ 将mongodb的运行端口设置为27017之外的端口
+ 在启动mongod的时候一定要带上--auth,mongodb创建用户参考create user

可能碰到的问题

npm install卡在rollbackFailedOptional

这个实际上是连接npm服务器超时的结果,很大可能是因为设置安全组策略的时候,没有对出站的流量进行允许,导致npm无法访问到服务器,在服务器供应商处将出站安全配置为允许所有。

userAdminAnyDatabase鉴权失败

这个应该是因为当前使用的数据库不是admin数据库,根据博客园,这个用户身份应该只能在admin数据库中使用,用于管理用户。所以要创建一个访问某个数据库的用户身份,需要切换到对应的数据库,再创建用户,比如:

use yapi
db.createUser(...roles: [ { role: "readWrite", db: "yapi" } ]...)

Mongodb被黑经历相关推荐

  1. MongoDB被黑记录

    20220225,日常点开后发现程序异常,排查日志发现MongoDB连接异常,嗷嚎 好在数据只是运维使用,丢就丢了,以下是补救措施 1.重新创建admin账户 $ mongo $ use admin ...

  2. 阿里云服务器Mongodb被黑,数据丢失

    问题 最近将项目部署在阿里云服务器上,在mongodb中存储的图片以及数据都没了. 白天添加的数据,到了第二天,所有数据都没有. 原因 在mongodb的db中出现一个如下名字的库: READ_ME_ ...

  3. 记一次真实的网站被黑经历

    前言 距离上次被DDOS攻击已经有10天左右的时间,距离上上次已经记不起具体那一天了,每一次都这么不了了之.然而近期一次相对持久的攻击,我觉得有必要静下心来,分享一下被黑的那段经历. 在叙述经历之前, ...

  4. 【 Grey Hack 】记一次被黑经历

    目录 又被搞了 版本:Grey Hack v0.7.3618 - Alpha 胆大包天的我黑进游戏内shop的IP后,顺着其上面的日志溯源到不少疑似其他玩家租的服务器,暂时没什么进展 不久后回到桌面才 ...

  5. 我CSDN博客被黑经历

    今天(2016-3-4)上午习惯性的打开我的CSDN Blog,竟然显示如下界面: 在CSDN写Blog这么多年了,发表的文章绝大部分都是我原创的技术文章.承蒙CSDN的编辑们的抬举,给了个" ...

  6. mongodb 权威指南_有关MongoDB安全性的权威指南

    mongodb 权威指南 想象一下:辛苦了一天的工作之后,大家都准备收拾行装并回家,但是就像您要关闭时一样,这弹出来: 当您拒绝时,就会开始产生下沉的感觉. 这绝不可能发生在我身上! 然后进入现实状态 ...

  7. 如何保证MongoDB的安全性?

    2019独角兽企业重金招聘Python工程师标准>>> 上周写了个简短的新闻<MongoDB裸奔,2亿国人求职简历泄漏!>: 根据安全站点HackenProof的报告,由 ...

  8. 如何保证MongoDB的安全性? 1

    上周写了个简短的新闻<MongoDB裸奔,2亿国人求职简历泄漏!>: 根据安全站点HackenProof的报告,由于MongoDB数据库没有采取任何安全保护措施,导致共计202,730,4 ...

  9. SpringBoot操作MongoDB之MongoRepository

    文章目录 前言 参考链接 时间线 MongoRepository简介 使用前的准备 Maven application.properties配置 使用 使用流程 设计好collections格式 编写 ...

最新文章

  1. 问答平台元老Yahoo Answers宣布将永久关闭,网友:爷青结
  2. Entityframework Code First 系列之项目搭建
  3. ipad怎么和mac分屏_ipad学习方法分享[1]
  4. ubuntu/deepin常用软件清单(都是使用sudo apt-get install安装方式)
  5. Makefile 函数
  6. 错误: 15138删除对于用户失败,数据库主体在该数据库中拥有架构,无法删除。解决方法(转)
  7. Window操作系统注册表学习
  8. 解决windows资源管理器卡死,右键无响应问题
  9. java 插件开发教程_Eclipse插件开发的详细教程
  10. matlab的三维绘图函数,MATLAB中的三维绘图函数总结
  11. linux mantis安装包,Linux下安装mantis
  12. CLIP Learning Transferable Visual Models From Natural Language Supervision
  13. 阿里巴巴集团升级中台战略! 任命张建锋(行癫)为首席技术官(CTO)
  14. python wx包_今天玩点啥:python真香系列之利用wxpy包写一个微信消息自动回复插件...
  15. c++一本通 1238一元三次方程求解
  16. flask_pagedown小修改
  17. 哈里波特与魔法石pdf_哈里·罗伯茨(CSS)CSS框架的命运与失败
  18. client-identifier
  19. toad导入数据_Oracle 使用TOAD实现导入导出Excel数据
  20. php trimarray,PHP trim()函数和array_unique()函数去重 【原创】

热门文章

  1. 如何在photoshop里画虚线
  2. Android 5.1 AppOps总结
  3. 分页删除后一页数据后,如何自动显示上一页数据
  4. OCR文字识别 少数民族文字识别 国外文字识别
  5. 201606中通笔试题
  6. 吉他技巧—如何推算和记忆和弦
  7. Windows上查看CUDA是否安装成功
  8. java注解约束参数为固定值_Java学习 使用注解将参数的值限定
  9. vb中Msgbox函数的应用。
  10. 入库管理系统示例代码