V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
unt
V2EX  ›  程序员

关键时刻 mysql 被黑了,想问下黑客攻击的时机究竟有没有什么说法

  •  
  •   unt · 266 天前 via iPhone · 3794 次点击
    这是一个创建于 266 天前的主题,其中的信息可能已经有所发展或是发生改变。
    默认端口,公网全 ip 开放(我知道……)

    三个月了相安无事,昨天一操作就立马被黑。

    是纯粹的巧合还是流量会被监测,还是说会选择日期,比如某些会议、展会开始的时候攻击频率就会加大。
    30 条回复    2024-03-07 23:41:38 +08:00
    lcy630409
        1
    lcy630409  
       266 天前
    脚本触发?
    Hurriance
        2
    Hurriance  
       266 天前
    公网就是这样的,有人放脚本出来扫端口,跟你说的那些关系都不大
    我之前自己有台 ECS 上跑中间件,也被黑过,不过好在我只是拿来玩玩的
    cdlnls
        3
    cdlnls  
       266 天前   ❤️ 1
    纯粹看运气吧,每天都有无数的人/机构在扫描,目的都各不相同,有的被黑了就是在当肉鸡,有的在挖矿,有的被勒索,有的被黑了不暴露在后台偷数据,有的时候甚至能同时被几波人黑进去,有的黑了你后还会帮你补漏洞。。
    unt
        4
    unt  
    OP
       266 天前
    @cdlnls #3 怎么这么巧呢
    unt
        5
    unt  
    OP
       266 天前
    @lcy630409 #1 意思是之前就已经在我们这儿装好了病毒脚本,就等我们操作?
    leaflxh
        6
    leaflxh  
       266 天前
    弱密码吗
    laminux29
        7
    laminux29  
       266 天前   ❤️ 7
    哥们,你数据库,端口暴露到公网,被黑是太正常的事情。

    一些经验:

    1.能暴露到公网,只能是 VPN 端口,而且必须是证书登录 + 白名单访问模式,也就是只能针对你常用 IP 开白名单,其他 IP 一律 DROP 。

    2.Linux 必须装 fail2ban ,Windows 必须装 wall2ban ,参数保持默认即可,这玩意有时候能救命。

    3.数据库这种端口,只能在内网开放。如果需要访问数据库的机器的肉身,与数据库不在一起,那么应该通过 VPN 组建虚拟局域网。

    4.数据库一定要做备份,备份服务器对数据库使用 pull 模式,从数据库进行主动拉取,就算有内鬼黑了数据库,至少还有备份。
    hefish
        8
    hefish  
       266 天前
    基本上就是运气。
    三个月相安无事,基本上算长的。
    扫描到算数。没扫描到就是命大。
    所以一般都是保持尽量小的权限。
    dode
        9
    dode  
       266 天前
    mysql 三个月更新了吗
    Jirajine
        10
    Jirajine  
       266 天前   ❤️ 1
    可能与黑你的方式有关。比如已经把恶意指令写到了你的 bashrs 里,自然要你登陆上去才会触发。
    unclemcz
        11
    unclemcz  
       266 天前 via Android
    开 ip 白名单,不要嫌麻烦。
    YUyu101
        12
    YUyu101  
       266 天前
    关键是怎么黑的呢,下次注意,不会是什么 0day 漏洞吧。
    zhangshine
        13
    zhangshine  
       266 天前
    确实可能和 #10 有关。破解了你的数据库但是用户没有破解,只能等你触发。
    YaakovZiv
        14
    YaakovZiv  
       266 天前
    可能就像网页点击攻击吧,管理员只有登录的时候,才会触发自动执行的恶意脚本,恶意脚本早已上传到网站后台了。
    xuanbg
        15
    xuanbg  
       266 天前
    数据库必须用 IP 白名单来保护。
    proxytoworld
        16
    proxytoworld  
       266 天前
    @Jirajine 都能写文件了,一万种方式执行脚本。。
    AssassinLOVE
        17
    AssassinLOVE  
       266 天前
    应该是触发了
    hack
        18
    hack  
       265 天前
    目测纯粹的巧合多一些
    corcre
        19
    corcre  
       265 天前
    我们前段时间被黑了一次, 那天正好是全公司一起出去搞活动了, 没人看着设备, 回来发现服务器重启了, 一个叫"Windows"的用户正在操作, 给我们干懵了, 我都怀疑是不是有内鬼把公司的活动时间泄露出去了
    vincent7245
        20
    vincent7245  
       265 天前 via Android
    1 防火墙,生产环境会涉及不同机房之间通过公网访问,配置好防火墙规则就行,只允许指定 IP 访问
    2 做好 1 就够了
    lyxxxh2
        21
    lyxxxh2  
       265 天前
    就算公开,还有账号秘密这个"防御策略"。
    怎么泄露的 不晓得。

    我以前为了方便自己,自己服务器 公司服务器数据库都是公开的,也没见被黑。
    jadeborner
        22
    jadeborner  
       265 天前
    @laminux29 只允许密钥登录还需要这个 fail2ban
    吗?
    WoneFrank
        23
    WoneFrank  
       265 天前
    其实正常来说,及时更新组件版本,不要用弱口令,固定、重要业务白名单访问就已经够用了。
    例如 ssh ,可以仅公钥登录,而 mysql 这些的数据库,确实没必要放公网,要么就只允许本地登录。
    至于 0day 这块,可以考虑整个开源的 waf ,被 0day 打了,绕 waf 了那说明打你的价值比漏洞高,那自己对安全这块自然而然就需要增加投入。
    养成良好习惯,按着规范来,就不怕被黑了。
    WoneFrank
        24
    WoneFrank  
       265 天前
    @WoneFrank 描述不清楚,ssh 用私钥登。
    laqow
        25
    laqow  
       265 天前
    如果是租的 VPS 就同路由同内网下相邻的机子扫的,压根没有隔离,无数重放攻击,记一下 assess IP 就看到了,说的就是腾讯轻量云
    laminux29
        26
    laminux29  
       265 天前
    @jadeborner 当然要。
    root0day8004
        27
    root0day8004  
       265 天前
    @laqow 同一个腾讯云账号下且同一个大区下的轻量,内网才有可能是通的 ,你这情况 多半情况是卖家把他其中一台轻量给你用了 但另一台轻量给别人用了 别人做了扫描 ,影响到你了
    laqow
        28
    laqow  
       265 天前
    @root0day8004 实际上同网段内网全通的,随便监听一下网卡隔壁发的什么请求都能看到
    taidayu
        29
    taidayu  
       264 天前 via Android
    @laqow 不太可能吧,大厂肯定有做隔离,不同账户里机器内网才能互通
    taidayu
        30
    taidayu  
       262 天前 via Android
    只有同账户里机器内网才能互通
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   926 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:12 · PVG 05:12 · LAX 13:12 · JFK 16:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.