数据库数据被篡改，如何追踪

2020-02-27 00:19:36 +08:00

ivae

今天发现某个用户的数据不对，该数据是存在 Mongodb 的，是礼物的余额，全被改成了 99999，一下午被送出去不少，生产服务器只开放了 80，443，22，9200，5601 端口，数据库端口 27017 和 3306 都没有对公网开放，ssh 也禁用了密码登录，只能通过私钥登录，也没发现配置异常的 ssh 公钥，之前的数据库操作历史记录也被删除了，没法查看操作历史，数据库也没发现有其他用户账号，检查业务代码也没有相关操作的地方，检查了一圈没发现可能的地方，万幸没有被删库勒索

之前没有相关服务器安全方面的经验，求教：

有哪些可能被黑的原因，要如何进行追踪和分析
暂时把 elk 的端口 9200，5601 关闭，22 端口也换了，还有哪些措施可以预防再次被黑

2037 次点击

所在节点

问与答

11 条回复

wafm

2020-02-27 00:21:29 +08:00

再检查业务代码，有没有可能是被伪造包提交的

mnssbe

2020-02-27 00:29:12 +08:00

余额没有明细, 只有个数字?

ivae

2020-02-27 00:40:40 +08:00

@mnssbe 礼物增加减少都是有记录的，这个用户都没有相关记录，凭空多出来的，所以怀疑是直接改了数据库

wafm

2020-02-27 00:45:27 +08:00

@ivae 考虑攻防成本，如果对方有数据库权限，绝不会刷刷礼物而已。

ericls

2020-02-27 00:52:22 +08:00

这种东西应该用 append only log

delectate

2020-02-27 06:43:15 +08:00

1、和数据库无关，应该是业务上的问题，很多年前的脚本小子，专门找注入漏洞；根据你的描述，我认为估计是这样的；
2、或者管理账号被攻破了（网站的，root 的都有可能）；
3、也可能是提交的包没有验证，这个还是得后端背锅；
4、架构不完善，每一个操作做没有记录，也没有回溯的可能性了。

freelancher

2020-02-27 07:37:47 +08:00

就没个运维吗？查数据库的日志呀。

tankren

2020-02-27 08:42:58 +08:00

@freelancher 楼主说了历史全被删了

qwerthhusn

2020-02-27 10:29:50 +08:00

有内鬼

wafm

2020-02-27 16:39:07 +08:00

@tankren 有数据库权限，直接脱了扔个地址要 BTC 了还刷啥礼物

loginbygoogle

2020-02-29 18:07:38 +08:00

可能应用被小学生破解了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/647886

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.