V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
baiyuxiong
V2EX  ›  信息安全

F**K,数据库被黑客删光了

  •  1
     
  •   baiyuxiong · 2021-07-07 11:56:47 +08:00 · 15236 次点击
    这是一个创建于 1264 天前的主题,其中的信息可能已经有所发展或是发生改变。

    删的啥都没了,建了一个 README 表。里面写了句话:

    以下数据库已被删除:**** 。 我们有一个完整的备份。 要恢复它,您必须将 0.018 比特币( BTC )支付给我们的比特币地址 bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr 。 有关说明,请通过 [email protected] 通过电子邮件联系我们。 任何与付款无关的邮件都将被忽略!

    反思: 1 、不要开放 3306 端口公开访问 2 、密码设置的要复杂

    86 条回复    2021-07-09 09:13:12 +08:00
    tabris17
        1
    tabris17  
       2021-07-07 11:59:04 +08:00   ❤️ 5
    好,这就去注册一个 tutanota.com 的邮箱
    liprais
        2
    liprais  
       2021-07-07 12:02:43 +08:00
    骗钱的,别给,他肯定不会有你的数据
    cominghome
        3
    cominghome  
       2021-07-07 12:07:16 +08:00   ❤️ 7
    你把端口暴露到公网的哪天就应该有这个觉悟了
    levinit
        4
    levinit  
       2021-07-07 12:13:57 +08:00   ❤️ 1
    为啥要暴露到公网啊,暴露公网要有觉悟……
    levinit
        5
    levinit  
       2021-07-07 12:15:15 +08:00
    @levinit 如果服务器自己有公网 ip,搭建 openvpn,或者 frp stcp 模式,ssh 端口想开着的话,做好各种防护……
    SpicaStar
        6
    SpicaStar  
       2021-07-07 12:15:33 +08:00   ❤️ 4
    btc.com/btc/address/bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr
    这个地址有两条付款记录,大兄弟拿别人的付款记录碰碰运气呗。

    如果数据不重要就涨个记性
    UG4anS3JspYD
        7
    UG4anS3JspYD  
       2021-07-07 12:15:37 +08:00
    二进制 日志 还能恢复吗?还是没开?
    polyang
        8
    polyang  
       2021-07-07 12:19:27 +08:00
    数据库要开放端口的话,一般最好换个随机的端口号,然后密码设复杂一点。
    kakeiri
        9
    kakeiri  
       2021-07-07 12:21:55 +08:00   ❤️ 1
    同样被删,幸亏有备份,要不就凉凉了
    Rache1
        10
    Rache1  
       2021-07-07 12:34:26 +08:00
    @levinit 只是本地管理方便的话 ssh 隧道就够了
    kisick
        11
    kisick  
       2021-07-07 12:38:48 +08:00 via iPhone
    这不是前段时间的新闻吗,好像有人发现数据还在服务器上,找找看(千万别打钱
    baiyuxiong
        12
    baiyuxiong  
    OP
       2021-07-07 12:44:31 +08:00
    数据不重要,就是费力折腾。
    打钱是不可能打钱的
    Jooooooooo
        13
    Jooooooooo  
       2021-07-07 12:45:22 +08:00
    他怎么可能费劲给你备份数据.
    zhaohua
        14
    zhaohua  
       2021-07-07 12:47:58 +08:00   ❤️ 1
    同样被删,同一个备份, 且没备份, 想要打钱,不知道怎么买币
    masterclock
        15
    masterclock  
       2021-07-07 12:49:13 +08:00   ❤️ 3
    对方有可能备份的,
    用于二次勒索,不给钱就公开数据
    三次勒索,卖数据
    baiyuxiong
        16
    baiyuxiong  
    OP
       2021-07-07 12:49:51 +08:00
    @zhaohua 打了也不可能拿回来数据,我这个数据库的数据有一个多 G,他不可能给我备份的。黑客+骗子,别想了。
    Tink
        17
    Tink  
       2021-07-07 12:50:16 +08:00 via Android
    真牛逼
    hijoker
        18
    hijoker  
       2021-07-07 12:52:44 +08:00
    不是云厂商的数据库?自建的?
    LiYanHong
        19
    LiYanHong  
       2021-07-07 12:53:21 +08:00
    IPban 和 duo 值得拥有
    baiyuxiong
        20
    baiyuxiong  
    OP
       2021-07-07 12:54:00 +08:00
    @hijoker 云主机上自己搭建的,方便测试用的
    DoctorCat
        21
    DoctorCat  
       2021-07-07 12:58:16 +08:00   ❤️ 4
    国内报警,然后找德国警方协作申请嫌疑人的访问记录和 IP 地址。然后电信机构查路由和 IP 记录,试试能不能揪出罪犯。


    ------参考 Tutanota 答疑------
    Tutanota 可以匿名使用吗?你们会记录我的 IP 地址吗?
    默认情况下,登录和发送邮件时不会记录 IP 地址,往来邮件中的 IP 地址也会被剔除,以免泄露您所在的位置。

    只有当账户涉及谋杀、抢劫、勒索、儿童色情、炸弹袭击等重大犯罪时,我们才会依照德国法院下达的命令记录个人账户相关的 IP 地址。您可以在我们的博客详细了解德国的数据保护法律。
    Telegram
        22
    Telegram  
       2021-07-07 12:59:53 +08:00
    你忽略了最重要的点,备份。
    你防御再好,还不如定期异地备份。

    比如你 web 权限被人拿到,一样可以连你内网数据库,密码再复杂也没用,都在配置文件里。
    liuidetmks
        23
    liuidetmks  
       2021-07-07 12:59:57 +08:00
    一般而言,勒索应该是加密数据,对方极有可能没有原始数据,数据库毕竟太大了,传输不方便
    Telegram
        24
    Telegram  
       2021-07-07 13:02:36 +08:00   ❤️ 5
    @DoctorCat #21 想太多了,除非你网站足够重要,经济损失足够大,或者你关系够铁。
    不然网警不会这么闲帮你查,黑客是国内的还有可能
    zhaokun
        25
    zhaokun  
       2021-07-07 13:03:28 +08:00
    数据库只开内网
    Ngink
        26
    Ngink  
       2021-07-07 13:14:13 +08:00
    之前我也碰到过,好像是 redis 远程执行导致的
    ytll21
        27
    ytll21  
       2021-07-07 13:20:33 +08:00
    云数据库不是有自动备份功能的吗?而且没多少钱我记得
    biguokang
        28
    biguokang  
       2021-07-07 13:21:57 +08:00
    @SpicaStar 不一定是真实用户,可能就是混币洗钱操作,因为有专门的混币机构服务或者程序,而且一般人家为了识别用户,每个人的价格都不一样,比如说对 A 的价格是 0.0180,对 B 的价格是 0.0181,然后通过转账记录金额看看谁付费了,诸如此类。。。
    biguokang
        29
    biguokang  
       2021-07-07 13:22:58 +08:00
    @zhaohua 去境外支持 rmb 支付的数字货币交易所就可以了,比如 coincola
    webshe11
        30
    webshe11  
       2021-07-07 13:26:28 +08:00 via Android
    3306 端口月经贴
    gearfox
        31
    gearfox  
       2021-07-07 13:28:02 +08:00
    0.018BTC 算是良心价,狗头
    sytnishizuiai
        32
    sytnishizuiai  
       2021-07-07 13:30:39 +08:00
    那公司数据库推荐买云服商的 rds 还是自建呢?
    我之前 v2 搜了好多帖子,大部分人建议自建。
    fanyingmao
        33
    fanyingmao  
       2021-07-07 13:51:39 +08:00
    好多把端口露出来的坑货,现在呆的公司运维把端口管死死的,也很麻烦。
    vain
        34
    vain  
       2021-07-07 13:55:27 +08:00
    @tabris17 3 个月不登录,删除账号。不如 protonmail
    275761919
        35
    275761919  
       2021-07-07 14:11:49 +08:00
    我赶紧看下我的,一顿拒绝访问的记录,幸好里面没数据
    berg223
        36
    berg223  
       2021-07-07 14:12:42 +08:00
    不要慌,rm -rf 大概率是可以用软件恢复的
    mxT52CRuqR6o5
        37
    mxT52CRuqR6o5  
       2021-07-07 14:15:15 +08:00   ❤️ 1
    等币难后再支付
    RichXu
        39
    RichXu  
       2021-07-07 14:39:46 +08:00
    开放到公网的默认端口都要改,不然中招是迟早的,22,3306,27017 之类的,改端口又不难,改完保险很多很多很多,至少我改了之后再也没被黑过了
    yitingbai
        40
    yitingbai  
       2021-07-07 14:40:44 +08:00
    我的 mysql, redis 等等都是公网可访问的, 主要就是为了自己方便用, 把密码设置的复杂一点, 密码不要二次使用, 怎么可能会被爆破呢, 这么多年我也没被入侵过啊, 每天的尝试登录日志倒是有很多. 唯一需要担心的可能就是服务本身有漏洞
    DoctorCat
        41
    DoctorCat  
       2021-07-07 15:56:35 +08:00
    @Telegram 不然怎么办?放弃治疗等死? 不试试怎么会知道呢,对吧
    Marszm
        42
    Marszm  
       2021-07-07 16:07:31 +08:00
    草。。。血压拉满了。。赶紧备份一波数据库。。
    IvanLi127
        43
    IvanLi127  
       2021-07-07 16:13:36 +08:00
    @DoctorCat 说实话。。。这邮件地址应该是不存在的。毕竟人家说“任何与付款无关的邮件都将被忽略”
    herozzm
        44
    herozzm  
       2021-07-07 16:16:47 +08:00 via Android
    备份呢
    Light3
        45
    Light3  
       2021-07-07 16:18:04 +08:00
    emmm 只删数据库了吗 代码图片什么的没动?
    TORYOI
        46
    TORYOI  
       2021-07-07 16:22:25 +08:00
    备份的重要性,有备份的话还好一些
    Hack3rHan
        47
    Hack3rHan  
       2021-07-07 16:23:50 +08:00
    公网 3306 开了也就开了,你再整个弱口令那真就是白给。
    Swimming
        48
    Swimming  
       2021-07-07 16:24:39 +08:00
    有客户 ERP 系统被攻击的,南京找人按勒索价格 6 折解密(极有可能是黑客本人或者代理)
    WangYouGX
        49
    WangYouGX  
       2021-07-07 16:27:48 +08:00
    我都是 root 只允许本地登录,普通账户要录入数据只能通过存储过程,并无其他写入权限
    ssh 是 40 多位的密码
    DoctorCat
        50
    DoctorCat  
       2021-07-07 16:56:10 +08:00
    @IvanLi127 没明白你这不存在指的是啥。
    breezeFP
        51
    breezeFP  
       2021-07-07 17:45:29 +08:00
    用 ssh 隧道啊
    sakishum
        52
    sakishum  
       2021-07-07 17:56:37 +08:00
    我也试过中招, 但我数据库里什么重要的数据也没有😂
    libook
        53
    libook  
       2021-07-07 18:09:31 +08:00
    有的数据库本身安全策略上有缺陷,如果没有经过仔细配置的话就容易被人连上操作,这个你只要把数据库端口暴露到外网就有风险。

    另外对于关系型数据库还可以通过后端服务的 API 来进行注入,同样可能可以做到把数据导出并删库。

    所有服务全走 VPN,包括 SSH 和远程和桌面,是比较稳妥的方案。

    如果是企业生产用途的话,可以参照网络安全等级保护的要求,除了安全策略还有容灾备份。
    polyang
        54
    polyang  
       2021-07-07 18:38:21 +08:00
    @libook 一般来说只要把默认端口号换成其他的就可以了,黑客不会有那么闲,专门针对你的服务器,一个个端口去试,一般都是用默认端口扫描 ip 吧
    wangxin13g
        55
    wangxin13g  
       2021-07-07 18:39:07 +08:00
    3306 日经+1 listen 127.0.0.1+ssh 公钥登陆 花个半个小时就能避免的问题
    Cookieeeeee
        56
    Cookieeeeee  
       2021-07-07 18:44:31 +08:00
    备份呢
    darknoll
        57
    darknoll  
       2021-07-07 18:44:54 +08:00
    3306 算啥,我 3389 出事了说什么了吗
    Cookieeeeee
        58
    Cookieeeeee  
       2021-07-07 18:45:37 +08:00
    我之前网站上线当天被删库,套路和你一样,还好有备份。。。
    uiosun
        59
    uiosun  
       2021-07-07 18:56:34 +08:00
    @polyang 路过,补充:

    黑客偶尔也会写点小脚本,用来扫接口,所以最好的防范就是多重防御+不对公网开放某些服务,而不是纯粹的改改接口
    hushao
        60
    hushao  
       2021-07-07 19:15:40 +08:00
    云主机的话,快照也很方便的呀,随便他删,一键还原😂
    Bisyfish
        61
    Bisyfish  
       2021-07-07 20:12:23 +08:00
    @darknoll 3389 也算常用端口了
    Edcwsyh
        62
    Edcwsyh  
       2021-07-07 20:23:54 +08:00
    巧了, 前不久我同学的数据库也被黑客黑了.....留言和楼主的也大差不差
    建议还是不要开启 root 用户的远程访问
    zhaohua
        63
    zhaohua  
       2021-07-07 21:07:49 +08:00
    我付款了, 但是对方没给数据, 这帮人一点职业道德都不讲.
    byzf
        64
    byzf  
       2021-07-07 21:49:22 +08:00
    这咋破解的?暴力破解?
    exploreexe
        65
    exploreexe  
       2021-07-07 22:22:29 +08:00
    前几天看到一个电脑裸奔被黑的,今天看到一个 3306 扔公网的。
    咋说呢,既然都裸奔了敢放公网了,还纠结被黑干嘛?

    线下跟很多人说过,你这样做不安全,人家觉的你多余,说没事,没啥重要数据,改天给我发消息,说服务器被黑了,问我咋解决,这不活该么?再过来问我咋解决?真的是蠢的不行。
    felixin
        66
    felixin  
       2021-07-08 00:35:29 +08:00 via Android
    都是怎么被黑的?云主机没有安全组?只开放 ssh 公钥登陆端口,用 vscode 连上去,和操作本地一模一样,可以直接把远程端口转发到本地,公网上根本没有任何痕迹
    a719031256
        67
    a719031256  
       2021-07-08 08:45:37 +08:00
    估计是内鬼干的
    我们测试数据库被黑了两次
    第一次是弱密码,第二次是 16 位随机密码
    第一次也就算了,第二次我想不明白怎么泄露的
    jack778
        68
    jack778  
       2021-07-08 09:30:01 +08:00
    @a719031256 可能是服务器直接被黑了
    wobuhuicode
        69
    wobuhuicode  
       2021-07-08 09:34:42 +08:00
    上年 11 月也经历过
    我回个邮件给它们说我有备份数据的习惯,这比特币我就省下来了。
    mingl0280
        70
    mingl0280  
       2021-07-08 09:41:17 +08:00
    3306 放公网,加弱口令……
    这是啥操作……
    matrix67
        71
    matrix67  
       2021-07-08 09:47:01 +08:00
    @wobuhuicode 你还气他们,不怕贼偷,就怕贼惦记
    mh
        72
    mh  
       2021-07-08 10:06:06 +08:00
    去年我司也遇到过,3306 端口没有限制 ip 访问,还好是测试环境
    libook
        73
    libook  
       2021-07-08 10:28:09 +08:00   ❤️ 1
    @polyang #54
    都要改端口号了,把没必要暴露出去的端口改监听本机或局域网,成本是一样的,效果还更好。

    分布式的肉鸡全端口扫描并不需要消耗黑客一秒的时间,肉鸡不值钱,有一大批物联网设备可以用,全端口扫描也就是加个循环的事,这点并发量跟 DDos 比九牛一毛都不算。

    遭到分布式的全端口扫描的概率也并没有低到可以忽略的程度,毕竟门槛太低了。
    不过任何安全策略就是求一个成本和风险的平衡,成本高、风险能接受就可以考虑不做。
    lonelymarried
        74
    lonelymarried  
       2021-07-08 10:46:03 +08:00
    我用 docker 跑的 mysql,这种情况没问题嘛?我尝试了外网连不上。
    moioooo
        75
    moioooo  
       2021-07-08 11:09:24 +08:00
    基本不可能有备份的。
    黑客入侵之后删光,留个 readme 就行。剩下的就看你上不上钩
    如果还要备份,那就得打包上传,时间长容易被发现不说,还要存储成本,傻子才这么做呢。
    philchang1995
        76
    philchang1995  
       2021-07-08 11:11:03 +08:00
    这家伙的钱包地址交易量挺大啊
    xiangyuecn
        77
    xiangyuecn  
       2021-07-08 11:14:37 +08:00
    裸奔不可怕,没有备份才是最可怕
    CasualYours
        78
    CasualYours  
       2021-07-08 11:30:10 +08:00
    我的数据库之前也被删库了,备份他们是不可能备份的,看日志只是执行了几个 drop 命令。
    sobigfish
        79
    sobigfish  
       2021-07-08 11:39:41 +08:00
    远程可访问的数据库,好家伙,我以为只要外包才这么干(还真在比较大的外包公司见过,运维就跟智障一样开了我们(甲方)的远程)
    sakura1
        80
    sakura1  
       2021-07-08 12:00:16 +08:00
    所以黑客是通过本地 mysql 客户端直接就连进去了吗。。。
    Rh1
        81
    Rh1  
       2021-07-08 14:08:48 +08:00 via iPhone
    0.018 个 BTC 真的很良心了……这黑客也太没出息了吧
    Mac
        82
    Mac  
       2021-07-08 16:41:55 +08:00
    3306 改端口是常识,我就算改了端口,我还做了两道备份,每小时一次。阿里云和腾讯云的存储各一个。
    要不是带宽有限,我甚至想做同步。
    dengshen
        83
    dengshen  
       2021-07-08 16:48:54 +08:00 via iPhone
    使用证书登陆+fail2ban+改端口
    xuanzc880
        84
    xuanzc880  
       2021-07-08 19:12:24 +08:00
    公网开放端口防火墙设置白名单是基本的.
    abccccabc
        85
    abccccabc  
       2021-07-08 19:32:32 +08:00
    @dengshen 用什么 fail2ban,只保留一个 80,一个 443 端口,够了。
    ZhaoHuiLiu
        86
    ZhaoHuiLiu  
       2021-07-09 09:13:12 +08:00 via Android
    数据库绑定 ip 地址访问不就好了,为啥那么笨呢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2677 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 15:14 · PVG 23:14 · LAX 07:14 · JFK 10:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.