我的腾讯云小鸡子被黑了-_-

2018-10-23 11:02:44 +08:00
 ChristopherWu

其实应该不是被黑。。

mongo 默认没有账号密码,而且允许外网访问; 这个『漏洞』我之前一直有看新闻意识到,但这是腾讯云很便宜买的小鸡子,而且目前没有啥重要东西放上面,改了 ssh 端口跟不允许密码账号登录后,就轻视了。

知道之前需要测试 mongo 的东西时,9.30 号 在小机子上面把 mongo 启动起来,然后没有关。

昨天晚上因为做给自己用的一个小网站( http://119.29.78.110:8000/books.html),凌晨 3 点才搞完,赶着先出样品,就用 python 的 simple server ( emm..那时急着睡觉,没有用 nginx,也因为机器不重要。。),用作前端的服务器; 然后 Flask 直接启动了一个后端服务,就先启起来了,然后睡觉了~

今天早上上去一看,发现 mongo 数据库空了(反正抓来的数据,没影响 @——@),下面有一个 Warn 库

> db.Warn.find()
{ "_id" : ObjectId("5bce24b3e581f3bc95d75f07"), "BitCoin" : "3P4hnQNpEpKPL1x3kKcwGcB5UUmZdRF2Um", "eMail" : "dbbak_service@protonmail.com", "Exchange" : "https://localbitcoins.com/", "Solution" : "Your Database is downloaded and backed up on our secured servers. To recover your lost data: Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored.You are welcome!" }

刚开始以为是 python simple server 的锅,然后就意识到,我外网可以直接连自己的 mongo 啊....

以上,报告完毕。

#明明我还吐槽过很多次 mongo 允许外网访问以及默认没有密码的-_-

请问诸位还有啥漏洞要注意的吗? python simple server 应该没这么容易被攻破吧? 我要检查上面有没有挂马之类的,除了看 top,ps aux 之类的异常进程,还有啥办法吗~ (知道大佬都说被搞过,直接重装最安全;但上面没有敏感数据,先不重装,这样玩着:P, 像这样我对 mongo 这点印象更深刻了)

6998 次点击
所在节点    程序员
53 条回复
iConnect
2018-10-23 11:14:19 +08:00
自动端口扫描,人家不是故意来黑你的,只是路过你家发现门开着
p2pCoder
2018-10-23 11:16:28 +08:00
昨年 redis 也没设密码,被挖矿了
Molita
2018-10-23 11:17:33 +08:00
门上没锁还不关门=。=
baicheng10
2018-10-23 11:19:02 +08:00
Your Database is downloaded and backed up on our secured servers. To recover your lost data: Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored.You are welcome!

还好数据不重要。看到这个提醒莫名想笑,臭不要脸的。
ChristopherWu
2018-10-23 11:20:08 +08:00
@Molita @iConnect @p2pCoder

!!!!!!!!!!!!!

我忘了说我的疑问了:
1. 我知道是网络脚本扫描通用『漏洞』做的, 我是想知道, 脚本是如何获取所有新出现的 ip 的?
2. 我的 mongo 是 9.30 就开了的,为什么昨天我把 python 后台跟 simple server 启动起来,才被人扫到?
ChristopherWu
2018-10-23 11:21:26 +08:00
@baicheng10 可能就算是数据重要,我第一次这样子搭服务,还是会栽这个坑上 -_-
lhx2008
2018-10-23 11:24:16 +08:00
mongo 默认允许外网访问吗,我还一直没调,不过调了只开 80 和 443
baicheng10
2018-10-23 11:24:54 +08:00
扫描的网段,那些不要脸的,反正肉鸡多,慢慢搞。
还会不断进行暴力破解,烦得要死。
ChristopherWu
2018-10-23 11:25:15 +08:00
@lhx2008 是啊。
当然,这个可能也正常,因为 psql 这些估计也是允许外网访问的,不过他们强制要你设置账号密码。
lhx2008
2018-10-23 11:25:16 +08:00
看了下默认是本机的啊

# network interfaces
net:
port: 27017
bindIp: 127.0.0.1
ChristopherWu
2018-10-23 11:25:47 +08:00
@baicheng10 所有网段的 ip,不停的遍历?
Molita
2018-10-23 11:27:18 +08:00
有 IP 段吧,大概就这些遍历呗。猜测
xavier007
2018-10-23 11:30:39 +08:00
有 IP 段,比如这个 IP 段是 A 云,那个是 T 云,每天遍历扫一遍总有新收获
xavier007
2018-10-23 11:31:15 +08:00
以前内网没有隔离的时候,内网还可以自己扫
LittleDust
2018-10-23 11:34:13 +08:00
小鸡子🐤。。小鸡子🐥。。好萌
bankroft
2018-10-23 11:36:29 +08:00
ipv4 拢共就那么多 ip,而且这种情况肉鸡应该很多,就算扫全 ip 也要不了多少时间吧。最重要的是服务提供商一般都有 B 类地址吧,扫循环扫一些 b 类地址总能扫到。v6 覆盖起来之后应该会好些
flowfire
2018-10-23 11:36:30 +08:00
0.6 BTC,一点都不贪 hhhh
wildcat007
2018-10-23 11:38:27 +08:00
redis mysql 都有的
mysql 直接删库,然后警告你 一定时限支付,否则彻底删除数据(其实已经删除了)
redis 直接拿权限 写 crontab,继续自动扫描攻击 + 挖矿
GrahamACER
2018-10-23 11:39:10 +08:00
遭遇一模一样的现象……勒索的价格都一样
最重要的是,腾讯没有自动备份,隔壁就有……
当天晚上把所有服务都迁移到隔壁去了,开了防火墙做了登录 IP 限制
mongo 上密码其实很麻烦,我用的方法是只有指定的 IP 能访问 mongo
ChristopherWu
2018-10-23 11:40:00 +08:00
@bankroft 全扫描感觉不现实,25 亿呢。 所以会不会是扫描知名云的网段而已呢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/500119

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX