Aujourd'hui, j'étais dans mon MongoDB et je tape show dbs . Autre que mes dbs habituelles, il y a un hacked_by_unistellar supplémentaire. Quelqu'un pourrait savoir ce que je peux faire ici? On dirait que j'ai été piraté à moins que ce ne soit un terrible œuf de Pâques que j'ai rencontré. S'il vous plaît donnez votre avis. Merci.
4 Réponses :
vous devriez fermer votre port mongoDB par défaut 27017. Vous avez le même problème
Votre mot de passe MongoDB est-il protégé? si tel est le cas, vous pouvez accéder à la base de données avec uniquement une adresse IP et le port.
Si votre MongoDB n'est pas protégé par mot de passe, faites-le dès que possible! vos informations sont accessibles à tout le monde ...
Même les grandes entreprises font aussi cette erreur de temps en temps ...
J'avais la même chose sur un ancien serveur de sauvegarde.
Tout ce que je peux dire, c'est qu'il n'est pas lié à un port mongodb ouvert et public. Le serveur mongo fonctionne uniquement sur localhost, mais n'a pas de mot de passe d'accès (sous FreeBSD 12).
De toute évidence, fonctionner avec un port public par défaut et sans mot de passe est exactement ce que c'est, mais ce n'est pas la réponse.
Les seuls ports ouverts sur le serveur sont SSH, 80/443 (exécutant Apache 2.4.x) et un service de nœud sur le port 3xxx, ainsi que Mongo Express (également protégé par mot de passe).
Il existe également un serveur MySQL installé sans mot de passe, lié uniquement à localhost, mais qui n'a pas été touché.
Il semble plus probable qu'il s'agisse d'une vulnérabilité ailleurs, qui exploite une connexion locale non protégée à mongodb.
La protection par mot de passe de mongo peut protéger la base de données, mais n'identifie pas le point d'accès, ce qui est inquiétant.
Toutes mes données ont disparu!
Eh bien, ma seule action maintenant est de fermer toutes les connexions ouvertes à mon instance de base de données. Ma base de données nécessitait un mot de passe pour y accéder (donc, être sans mot de passe n'était pas le problème).
Cependant, je viens d'ajouter un pare-feu de base pour augmenter un peu la sécurité, au moins, maintenant je peux supposer qu'aucun accès à distance ne peut se connecter directement à mon instance de base de données.
J'ai suivi ce fil
Passez à la partie Étape sept - Configurer un pare-feu de base du message.
De plus, vous ne pouvez autoriser que certaines adresses IP à vos instances de base de données. En suivant les instructions sur https: // www.linode.com/docs/security/firewalls/configure-firewall-with-ufw/#advanced-rules
J'utilise ceci personnellement sur mon instance principale où je pense que les connexions ne proviendraient que d'une seule adresse IP.
J'espère que cela aidera temporairement quelqu'un jusqu'à ce qu'une meilleure solution émerge.
Je vais essayer ceci maintenant. Après avoir fermé les ports et ajouté un mot de passe, ma base de données a de nouveau été effacée. J'espère que ce pare-feu fonctionne.
@AndyNguyen J'ai mis à jour mon message. Essayez également l'autre lien.
Nous avons eu le même problème aujourd'hui sur notre MongoDB. Une base de données est apparue appelée "hacked_by_unistellar". Quelle était votre situation? Avez-vous des journaux?
Toute ma base de données a été nettoyée. Mes journaux ne montrent rien d'extraordinaire et il y a jusqu'à environ 2 heures.
Comment comptez-vous aller de l'avant?
Pareil ici, tous mes dbs sont partis.
La chose étrange est que nous n'avons aucun lien entre nous. Je pense qu'il y a peut-être eu un jour zéro. Avec quel hôte restez-vous? EDIT: cet article ( kiber.bloghu_cimlap&utm_source=tech" rel="nofollow noreferrer"> kiber. / 05/09 /… ) a été posté aujourd'hui et il dit que notre mongo n'a pas d'identifiant. C'est mon cas.