Кто-то только что намеренно запустил db.dropDatabase () на моей оболочке mongo? Можете ли вы получить доступ к mongo удаленно и обойти пароль ssh?
К моему удивлению, моя база данных оказалась пустой после того, как я не просматривал ее в течение недели. Были коллекции и несколько строк данных. Он работает в капле Ubuntu 14.04 в цифровом океане. Mongod работает на порте по умолчанию, без пароля или привязки ip (хотя сейчас я включил привязку ip)
В любом случае я проверяю путь к журналу /var/log/mongodb/mongodb.log, чтобы узнать, что произошло . Я вижу dropDatabase DB_DROPPED, начиная с . и 185.129.62. 63: 41783 , который происходит из Парижа, Франция. Я в Гонконге! Итак .... единственный способ получить доступ к моей оболочке mongo - это через ssh с моим именем пользователя и пройти.
Кто-то узнал мое имя пользователя ssh и прошел его, а затем перешел на usr / bin run mongo , затем db.dropDatabase () ? или есть другой способ взломать мою оболочку mongo?
Просто интересно, повторится ли это снова (какой-то чувак удаляет мои данные) или, может быть, у меня работает какая-то автоматическая настройка db.dropDatabase () (я сомневаюсь последнее).
ниже представлены журналы.
Tue Apr 18 05:36:39.251 [conn894] end connection 216.218.206.66:30916 (4 connections now open)
Tue Apr 18 05:36:52.241 [initandlisten] connection accepted from 216.218.206.66:35132 #895 (5 $
Tue Apr 18 05:36:52.430 [conn895] end connection 216.218.206.66:35132 (4 connections now open)
Tue Apr 18 16:44:55.121 [initandlisten] connection accepted from 185.129.62.63:41448 #896 (5 c$
Tue Apr 18 16:44:56.052 [initandlisten] connection accepted from 185.129.62.63:41783 #897 (6 c$
Tue Apr 18 16:44:57.426 [conn896] end connection 185.129.62.63:41448 (5 connections now open)
Tue Apr 18 16:44:57.522 [conn897] end connection 185.129.62.63:41783 (4 connections now open)
Tue Apr 18 16:44:59.409 [initandlisten] connection accepted from 185.129.62.63:42904 #898 (5 c$
Tue Apr 18 16:45:00.580 [conn898] dropDatabase DB_DROPPED starting
Tue Apr 18 16:45:00.580 [conn898] removeJournalFiles
Tue Apr 18 16:45:00.585 [conn898] dropDatabase DB_DROPPED finished
Tue Apr 18 16:45:01.208 [conn898] dropDatabase easysmile starting
Tue Apr 18 16:45:01.208 [conn898] removeJournalFiles
Tue Apr 18 16:45:01.211 [conn898] dropDatabase easysmile finished
Tue Apr 18 16:45:01.756 [conn898] dropDatabase admin starting
Tue Apr 18 16:45:01.756 [conn898] removeJournalFiles
Tue Apr 18 16:45:01.758 [conn898] dropDatabase admin finished
Tue Apr 18 16:45:02.361 [conn898] dropDatabase cool_db starting
Tue Apr 18 16:45:02.361 [conn898] removeJournalFiles
Tue Apr 18 16:45:02.362 [conn898] dropDatabase cool_db finished
Tue Apr 18 16:45:03.579 [FileAllocator] allocating new datafile /data/db/DB_DELETED.ns, fillin$
Tue Apr 18 16:45:03.585 [FileAllocator] done allocating datafile /data/db/DB_DELETED.ns, size:$
Tue Apr 18 16:45:03.585 [FileAllocator] allocating new datafile /data/db/DB_DELETED.0, filling$
Tue Apr 18 16:45:03.587 [FileAllocator] done allocating datafile /data/db/DB_DELETED.0, size: $
Tue Apr 18 16:45:03.588 [FileAllocator] allocating new datafile /data/db/DB_DELETED.1, filling$
Tue Apr 18 16:45:03.589 [FileAllocator] done allocating datafile /data/db/DB_DELETED.1, size: $
Tue Apr 18 16:45:03.596 [conn898] build index DB_DELETED.DB_DELETED { _id: 1 }
Tue Apr 18 16:45:03.601 [conn898] build index done. scanned 0 total records. 0.005 secs
Tue Apr 18 16:45:04.274 [conn898] end connection 185.129.62.63:42904 (4 connections now open)
Wed Apr 19 02:37:33.739 [FileAllocator] allocating new datafile /data/db/easysmile.ns, filling$
Wed Apr 19 02:37:33.746 [FileAllocator] done allocating datafile /data/db/easysmile.ns, size: $
Wed Apr 19 02:37:33.746 [FileAllocator] allocating new datafile /data/db/easysmile.0, filling $
Wed Apr 19 02:37:33.748 [FileAllocator] done allocating datafile /data/db/easysmile.0, size: 6$
Wed Apr 19 02:37:33.752 [FileAllocator] allocating new datafile /data/db/easysmile.1, filling $
Wed Apr 19 02:37:33.754 [FileAllocator] done allocating datafile /data/db/easysmile.1, size: 1$
Wed Apr 19 02:37:33.755 [conn863] build index easysmile._SCHEMA { _id: 1 }
Журнал довольно ясен - ваш сервер БД открыт для Интернета - плохая идея !
Когда он говорит «соединение принято с 185.129.62.63» , это означает, что клиентская программа (возможно, оболочка mongo, возможно, другое приложение), работающая на 185.129.62.63 (или проходящая через нее), установила соединение с вашим сервером БД, и оно было принято; дальнейшие записи журнала показывают, что злоумышленник удаляет ваши данные.
Неясно, была ли включена аутентификация на вашем сервере MongoDB или нет; вероятно, нет, учитывая то, что произошло.
В любом случае вам нужно усвоить урок; срочно выполните действия из Контрольный список безопасности MongoDB , затем восстановите данные из резервной копии (у вас есть резервная копия, не так ли?) и больше не повторяйте те же ошибки.