关键时刻 mysql 被黑了,想问下黑客攻击的时机究竟有没有什么说法

295 天前
 unt
默认端口,公网全 ip 开放(我知道……)

三个月了相安无事,昨天一操作就立马被黑。

是纯粹的巧合还是流量会被监测,还是说会选择日期,比如某些会议、展会开始的时候攻击频率就会加大。
3828 次点击
所在节点    程序员
30 条回复
lcy630409
295 天前
脚本触发?
Hurriance
295 天前
公网就是这样的,有人放脚本出来扫端口,跟你说的那些关系都不大
我之前自己有台 ECS 上跑中间件,也被黑过,不过好在我只是拿来玩玩的
cdlnls
295 天前
纯粹看运气吧,每天都有无数的人/机构在扫描,目的都各不相同,有的被黑了就是在当肉鸡,有的在挖矿,有的被勒索,有的被黑了不暴露在后台偷数据,有的时候甚至能同时被几波人黑进去,有的黑了你后还会帮你补漏洞。。
unt
295 天前
@cdlnls #3 怎么这么巧呢
unt
295 天前
@lcy630409 #1 意思是之前就已经在我们这儿装好了病毒脚本,就等我们操作?
leaflxh
295 天前
弱密码吗
laminux29
295 天前
哥们,你数据库,端口暴露到公网,被黑是太正常的事情。

一些经验:

1.能暴露到公网,只能是 VPN 端口,而且必须是证书登录 + 白名单访问模式,也就是只能针对你常用 IP 开白名单,其他 IP 一律 DROP 。

2.Linux 必须装 fail2ban ,Windows 必须装 wall2ban ,参数保持默认即可,这玩意有时候能救命。

3.数据库这种端口,只能在内网开放。如果需要访问数据库的机器的肉身,与数据库不在一起,那么应该通过 VPN 组建虚拟局域网。

4.数据库一定要做备份,备份服务器对数据库使用 pull 模式,从数据库进行主动拉取,就算有内鬼黑了数据库,至少还有备份。
hefish
295 天前
基本上就是运气。
三个月相安无事,基本上算长的。
扫描到算数。没扫描到就是命大。
所以一般都是保持尽量小的权限。
dode
295 天前
mysql 三个月更新了吗
Jirajine
295 天前
可能与黑你的方式有关。比如已经把恶意指令写到了你的 bashrs 里,自然要你登陆上去才会触发。
unclemcz
295 天前
开 ip 白名单,不要嫌麻烦。
YUyu101
295 天前
关键是怎么黑的呢,下次注意,不会是什么 0day 漏洞吧。
zhangshine
295 天前
确实可能和 #10 有关。破解了你的数据库但是用户没有破解,只能等你触发。
YaakovZiv
295 天前
可能就像网页点击攻击吧,管理员只有登录的时候,才会触发自动执行的恶意脚本,恶意脚本早已上传到网站后台了。
xuanbg
295 天前
数据库必须用 IP 白名单来保护。
proxytoworld
295 天前
@Jirajine 都能写文件了,一万种方式执行脚本。。
AssassinLOVE
294 天前
应该是触发了
hack
294 天前
目测纯粹的巧合多一些
corcre
294 天前
我们前段时间被黑了一次, 那天正好是全公司一起出去搞活动了, 没人看着设备, 回来发现服务器重启了, 一个叫"Windows"的用户正在操作, 给我们干懵了, 我都怀疑是不是有内鬼把公司的活动时间泄露出去了
vincent7245
294 天前
1 防火墙,生产环境会涉及不同机房之间通过公网访问,配置好防火墙规则就行,只允许指定 IP 访问
2 做好 1 就够了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1020227

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX