V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
baiyuxiong
V2EX  ›  信息安全

F**K,数据库被黑客删光了

  •  1
     
  •   baiyuxiong · 142 天前 · 11959 次点击
    这是一个创建于 142 天前的主题,其中的信息可能已经有所发展或是发生改变。

    删的啥都没了,建了一个 README 表。里面写了句话:

    以下数据库已被删除:**** 。 我们有一个完整的备份。 要恢复它,您必须将 0.018 比特币( BTC )支付给我们的比特币地址 bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr 。 有关说明,请通过 [email protected] 通过电子邮件联系我们。 任何与付款无关的邮件都将被忽略!

    反思: 1 、不要开放 3306 端口公开访问 2 、密码设置的要复杂

    86 条回复    2021-07-09 09:13:12 +08:00
    tabris17
        1
    tabris17   142 天前   ❤️ 5
    好,这就去注册一个 tutanota.com 的邮箱
    liprais
        2
    liprais   142 天前
    骗钱的,别给,他肯定不会有你的数据
    cominghome
        3
    cominghome   142 天前   ❤️ 7
    你把端口暴露到公网的哪天就应该有这个觉悟了
    levinit
        4
    levinit   142 天前   ❤️ 1
    为啥要暴露到公网啊,暴露公网要有觉悟……
    levinit
        5
    levinit   142 天前
    @levinit 如果服务器自己有公网 ip,搭建 openvpn,或者 frp stcp 模式,ssh 端口想开着的话,做好各种防护……
    SpicaStar
        6
    SpicaStar   142 天前   ❤️ 4
    btc.com/btc/address/bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr
    这个地址有两条付款记录,大兄弟拿别人的付款记录碰碰运气呗。

    如果数据不重要就涨个记性
    UG4anS3JspYD
        7
    UG4anS3JspYD   142 天前
    二进制 日志 还能恢复吗?还是没开?
    polyang
        8
    polyang   142 天前
    数据库要开放端口的话,一般最好换个随机的端口号,然后密码设复杂一点。
    kakeiri
        9
    kakeiri   142 天前   ❤️ 1
    同样被删,幸亏有备份,要不就凉凉了
    Rache1
        10
    Rache1   142 天前
    @levinit 只是本地管理方便的话 ssh 隧道就够了
    kisick
        11
    kisick   142 天前 via iPhone
    这不是前段时间的新闻吗,好像有人发现数据还在服务器上,找找看(千万别打钱
    baiyuxiong
        12
    baiyuxiong   142 天前
    数据不重要,就是费力折腾。
    打钱是不可能打钱的
    Jooooooooo
        13
    Jooooooooo   142 天前
    他怎么可能费劲给你备份数据.
    zhaohua
        14
    zhaohua   142 天前   ❤️ 1
    同样被删,同一个备份, 且没备份, 想要打钱,不知道怎么买币
    masterclock
        15
    masterclock   142 天前   ❤️ 3
    对方有可能备份的,
    用于二次勒索,不给钱就公开数据
    三次勒索,卖数据
    baiyuxiong
        16
    baiyuxiong   142 天前
    @zhaohua 打了也不可能拿回来数据,我这个数据库的数据有一个多 G,他不可能给我备份的。黑客+骗子,别想了。
    Tink
        17
    Tink   142 天前 via Android
    真牛逼
    hijoker
        18
    hijoker   142 天前
    不是云厂商的数据库?自建的?
    LiYanHong
        19
    LiYanHong   142 天前
    IPban 和 duo 值得拥有
    baiyuxiong
        20
    baiyuxiong   142 天前
    @hijoker 云主机上自己搭建的,方便测试用的
    DoctorCat
        21
    DoctorCat   142 天前   ❤️ 4
    国内报警,然后找德国警方协作申请嫌疑人的访问记录和 IP 地址。然后电信机构查路由和 IP 记录,试试能不能揪出罪犯。


    ------参考 Tutanota 答疑------
    Tutanota 可以匿名使用吗?你们会记录我的 IP 地址吗?
    默认情况下,登录和发送邮件时不会记录 IP 地址,往来邮件中的 IP 地址也会被剔除,以免泄露您所在的位置。

    只有当账户涉及谋杀、抢劫、勒索、儿童色情、炸弹袭击等重大犯罪时,我们才会依照德国法院下达的命令记录个人账户相关的 IP 地址。您可以在我们的博客详细了解德国的数据保护法律。
    Telegram
        22
    Telegram   142 天前
    你忽略了最重要的点,备份。
    你防御再好,还不如定期异地备份。

    比如你 web 权限被人拿到,一样可以连你内网数据库,密码再复杂也没用,都在配置文件里。
    liuidetmks
        23
    liuidetmks   142 天前
    一般而言,勒索应该是加密数据,对方极有可能没有原始数据,数据库毕竟太大了,传输不方便
    Telegram
        24
    Telegram   142 天前   ❤️ 5
    @DoctorCat #21 想太多了,除非你网站足够重要,经济损失足够大,或者你关系够铁。
    不然网警不会这么闲帮你查,黑客是国内的还有可能
    zhaokun
        25
    zhaokun   142 天前
    数据库只开内网
    Ngink
        26
    Ngink   142 天前
    之前我也碰到过,好像是 redis 远程执行导致的
    ytll21
        27
    ytll21   142 天前
    云数据库不是有自动备份功能的吗?而且没多少钱我记得
    biguokang
        28
    biguokang   142 天前
    @SpicaStar 不一定是真实用户,可能就是混币洗钱操作,因为有专门的混币机构服务或者程序,而且一般人家为了识别用户,每个人的价格都不一样,比如说对 A 的价格是 0.0180,对 B 的价格是 0.0181,然后通过转账记录金额看看谁付费了,诸如此类。。。
    biguokang
        29
    biguokang   142 天前
    @zhaohua 去境外支持 rmb 支付的数字货币交易所就可以了,比如 coincola
    webshe11
        30
    webshe11   142 天前 via Android
    3306 端口月经贴
    gearfox
        31
    gearfox   142 天前
    0.018BTC 算是良心价,狗头
    sytnishizuiai
        32
    sytnishizuiai   142 天前
    那公司数据库推荐买云服商的 rds 还是自建呢?
    我之前 v2 搜了好多帖子,大部分人建议自建。
    fanyingmao
        33
    fanyingmao   142 天前
    好多把端口露出来的坑货,现在呆的公司运维把端口管死死的,也很麻烦。
    vain
        34
    vain   142 天前
    @tabris17 3 个月不登录,删除账号。不如 protonmail
    275761919
        35
    275761919   142 天前
    我赶紧看下我的,一顿拒绝访问的记录,幸好里面没数据
    berg223
        36
    berg223   142 天前
    不要慌,rm -rf 大概率是可以用软件恢复的
    mxT52CRuqR6o5
        37
    mxT52CRuqR6o5   142 天前   ❤️ 1
    等币难后再支付
    RichXu
        39
    RichXu   142 天前
    开放到公网的默认端口都要改,不然中招是迟早的,22,3306,27017 之类的,改端口又不难,改完保险很多很多很多,至少我改了之后再也没被黑过了
    yitingbai
        40
    yitingbai   142 天前
    我的 mysql, redis 等等都是公网可访问的, 主要就是为了自己方便用, 把密码设置的复杂一点, 密码不要二次使用, 怎么可能会被爆破呢, 这么多年我也没被入侵过啊, 每天的尝试登录日志倒是有很多. 唯一需要担心的可能就是服务本身有漏洞
    DoctorCat
        41
    DoctorCat   142 天前
    @Telegram 不然怎么办?放弃治疗等死? 不试试怎么会知道呢,对吧
    Marszm
        42
    Marszm   142 天前
    草。。。血压拉满了。。赶紧备份一波数据库。。
    IvanLi127
        43
    IvanLi127   142 天前
    @DoctorCat 说实话。。。这邮件地址应该是不存在的。毕竟人家说“任何与付款无关的邮件都将被忽略”
    herozzm
        44
    herozzm   142 天前 via Android
    备份呢
    Light3
        45
    Light3   142 天前
    emmm 只删数据库了吗 代码图片什么的没动?
    TORYOI
        46
    TORYOI   142 天前
    备份的重要性,有备份的话还好一些
    Hack3rHan
        47
    Hack3rHan   142 天前
    公网 3306 开了也就开了,你再整个弱口令那真就是白给。
    Swimming
        48
    Swimming   142 天前
    有客户 ERP 系统被攻击的,南京找人按勒索价格 6 折解密(极有可能是黑客本人或者代理)
    WangYouGX
        49
    WangYouGX   142 天前
    我都是 root 只允许本地登录,普通账户要录入数据只能通过存储过程,并无其他写入权限
    ssh 是 40 多位的密码
    DoctorCat
        50
    DoctorCat   142 天前
    @IvanLi127 没明白你这不存在指的是啥。
    breezeFP
        51
    breezeFP   142 天前
    用 ssh 隧道啊
    sakishum
        52
    sakishum   142 天前
    我也试过中招, 但我数据库里什么重要的数据也没有😂
    libook
        53
    libook   142 天前
    有的数据库本身安全策略上有缺陷,如果没有经过仔细配置的话就容易被人连上操作,这个你只要把数据库端口暴露到外网就有风险。

    另外对于关系型数据库还可以通过后端服务的 API 来进行注入,同样可能可以做到把数据导出并删库。

    所有服务全走 VPN,包括 SSH 和远程和桌面,是比较稳妥的方案。

    如果是企业生产用途的话,可以参照网络安全等级保护的要求,除了安全策略还有容灾备份。
    polyang
        54
    polyang   142 天前
    @libook 一般来说只要把默认端口号换成其他的就可以了,黑客不会有那么闲,专门针对你的服务器,一个个端口去试,一般都是用默认端口扫描 ip 吧
    wangxin13g
        55
    wangxin13g   142 天前
    3306 日经+1 listen 127.0.0.1+ssh 公钥登陆 花个半个小时就能避免的问题
    Cookieeeeee
        56
    Cookieeeeee   142 天前
    备份呢
    darknoll
        57
    darknoll   142 天前
    3306 算啥,我 3389 出事了说什么了吗
    Cookieeeeee
        58
    Cookieeeeee   142 天前
    我之前网站上线当天被删库,套路和你一样,还好有备份。。。
    uiosun
        59
    uiosun   142 天前
    @polyang 路过,补充:

    黑客偶尔也会写点小脚本,用来扫接口,所以最好的防范就是多重防御+不对公网开放某些服务,而不是纯粹的改改接口
    hushao
        60
    hushao   142 天前
    云主机的话,快照也很方便的呀,随便他删,一键还原😂
    Bisyfish
        61
    Bisyfish   142 天前
    @darknoll 3389 也算常用端口了
    Edcwsyh
        62
    Edcwsyh   142 天前
    巧了, 前不久我同学的数据库也被黑客黑了.....留言和楼主的也大差不差
    建议还是不要开启 root 用户的远程访问
    zhaohua
        63
    zhaohua   142 天前
    我付款了, 但是对方没给数据, 这帮人一点职业道德都不讲.
    byzf
        64
    byzf   142 天前
    这咋破解的?暴力破解?
    exploreexe
        65
    exploreexe   142 天前
    前几天看到一个电脑裸奔被黑的,今天看到一个 3306 扔公网的。
    咋说呢,既然都裸奔了敢放公网了,还纠结被黑干嘛?

    线下跟很多人说过,你这样做不安全,人家觉的你多余,说没事,没啥重要数据,改天给我发消息,说服务器被黑了,问我咋解决,这不活该么?再过来问我咋解决?真的是蠢的不行。
    felixin
        66
    felixin   142 天前 via Android
    都是怎么被黑的?云主机没有安全组?只开放 ssh 公钥登陆端口,用 vscode 连上去,和操作本地一模一样,可以直接把远程端口转发到本地,公网上根本没有任何痕迹
    a719031256
        67
    a719031256   141 天前
    估计是内鬼干的
    我们测试数据库被黑了两次
    第一次是弱密码,第二次是 16 位随机密码
    第一次也就算了,第二次我想不明白怎么泄露的
    jack778
        68
    jack778   141 天前
    @a719031256 可能是服务器直接被黑了
    wobuhuicode
        69
    wobuhuicode   141 天前
    上年 11 月也经历过
    我回个邮件给它们说我有备份数据的习惯,这比特币我就省下来了。
    mingl0280
        70
    mingl0280   141 天前
    3306 放公网,加弱口令……
    这是啥操作……
    matrix67
        71
    matrix67   141 天前
    @wobuhuicode 你还气他们,不怕贼偷,就怕贼惦记
    mh
        72
    mh   141 天前
    去年我司也遇到过,3306 端口没有限制 ip 访问,还好是测试环境
    libook
        73
    libook   141 天前   ❤️ 1
    @polyang #54
    都要改端口号了,把没必要暴露出去的端口改监听本机或局域网,成本是一样的,效果还更好。

    分布式的肉鸡全端口扫描并不需要消耗黑客一秒的时间,肉鸡不值钱,有一大批物联网设备可以用,全端口扫描也就是加个循环的事,这点并发量跟 DDos 比九牛一毛都不算。

    遭到分布式的全端口扫描的概率也并没有低到可以忽略的程度,毕竟门槛太低了。
    不过任何安全策略就是求一个成本和风险的平衡,成本高、风险能接受就可以考虑不做。
    lonelymarried
        74
    lonelymarried   141 天前
    我用 docker 跑的 mysql,这种情况没问题嘛?我尝试了外网连不上。
    moioooo
        75
    moioooo   141 天前
    基本不可能有备份的。
    黑客入侵之后删光,留个 readme 就行。剩下的就看你上不上钩
    如果还要备份,那就得打包上传,时间长容易被发现不说,还要存储成本,傻子才这么做呢。
    philchang1995
        76
    philchang1995   141 天前
    这家伙的钱包地址交易量挺大啊
    xiangyuecn
        77
    xiangyuecn   141 天前
    裸奔不可怕,没有备份才是最可怕
    CasualYours
        78
    CasualYours   141 天前
    我的数据库之前也被删库了,备份他们是不可能备份的,看日志只是执行了几个 drop 命令。
    sobigfish
        79
    sobigfish   141 天前
    远程可访问的数据库,好家伙,我以为只要外包才这么干(还真在比较大的外包公司见过,运维就跟智障一样开了我们(甲方)的远程)
    sakura1
        80
    sakura1   141 天前
    所以黑客是通过本地 mysql 客户端直接就连进去了吗。。。
    Rh1
        81
    Rh1   141 天前 via iPhone
    0.018 个 BTC 真的很良心了……这黑客也太没出息了吧
    Mac
        82
    Mac   141 天前
    3306 改端口是常识,我就算改了端口,我还做了两道备份,每小时一次。阿里云和腾讯云的存储各一个。
    要不是带宽有限,我甚至想做同步。
    dengshen
        83
    dengshen   141 天前 via iPhone
    使用证书登陆+fail2ban+改端口
    xuanzc880
        84
    xuanzc880   141 天前
    公网开放端口防火墙设置白名单是基本的.
    abccccabc
        85
    abccccabc   141 天前
    @dengshen 用什么 fail2ban,只保留一个 80,一个 443 端口,够了。
    ZhaoHuiLiu
        86
    ZhaoHuiLiu   140 天前 via Android
    数据库绑定 ip 地址访问不就好了,为啥那么笨呢
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1560 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 00:42 · PVG 08:42 · LAX 16:42 · JFK 19:42
    ♥ Do have faith in what you're doing.