删的啥都没了,建了一个 README 表。里面写了句话:
以下数据库已被删除:**** 。 我们有一个完整的备份。 要恢复它,您必须将 0.018 比特币( BTC )支付给我们的比特币地址 bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr 。 有关说明,请通过 [email protected] 通过电子邮件联系我们。 任何与付款无关的邮件都将被忽略!
反思: 1 、不要开放 3306 端口公开访问 2 、密码设置的要复杂
1
tabris17 2021-07-07 11:59:04 +08:00 5
好,这就去注册一个 tutanota.com 的邮箱
|
2
liprais 2021-07-07 12:02:43 +08:00
骗钱的,别给,他肯定不会有你的数据
|
3
cominghome 2021-07-07 12:07:16 +08:00 7
你把端口暴露到公网的哪天就应该有这个觉悟了
|
4
levinit 2021-07-07 12:13:57 +08:00 1
为啥要暴露到公网啊,暴露公网要有觉悟……
|
5
levinit 2021-07-07 12:15:15 +08:00
@levinit 如果服务器自己有公网 ip,搭建 openvpn,或者 frp stcp 模式,ssh 端口想开着的话,做好各种防护……
|
6
SpicaStar 2021-07-07 12:15:33 +08:00 4
btc.com/btc/address/bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr
这个地址有两条付款记录,大兄弟拿别人的付款记录碰碰运气呗。 如果数据不重要就涨个记性 |
7
UG4anS3JspYD 2021-07-07 12:15:37 +08:00
二进制 日志 还能恢复吗?还是没开?
|
8
polyang 2021-07-07 12:19:27 +08:00
数据库要开放端口的话,一般最好换个随机的端口号,然后密码设复杂一点。
|
9
kakeiri 2021-07-07 12:21:55 +08:00 1
同样被删,幸亏有备份,要不就凉凉了
|
11
kisick 2021-07-07 12:38:48 +08:00 via iPhone
这不是前段时间的新闻吗,好像有人发现数据还在服务器上,找找看(千万别打钱
|
12
baiyuxiong OP 数据不重要,就是费力折腾。
打钱是不可能打钱的 |
13
Jooooooooo 2021-07-07 12:45:22 +08:00
他怎么可能费劲给你备份数据.
|
14
zhaohua 2021-07-07 12:47:58 +08:00 1
同样被删,同一个备份, 且没备份, 想要打钱,不知道怎么买币
|
15
masterclock 2021-07-07 12:49:13 +08:00 3
对方有可能备份的,
用于二次勒索,不给钱就公开数据 三次勒索,卖数据 |
16
baiyuxiong OP @zhaohua 打了也不可能拿回来数据,我这个数据库的数据有一个多 G,他不可能给我备份的。黑客+骗子,别想了。
|
17
Tink 2021-07-07 12:50:16 +08:00 via Android
真牛逼
|
18
hijoker 2021-07-07 12:52:44 +08:00
不是云厂商的数据库?自建的?
|
19
LiYanHong 2021-07-07 12:53:21 +08:00
IPban 和 duo 值得拥有
|
20
baiyuxiong OP @hijoker 云主机上自己搭建的,方便测试用的
|
21
DoctorCat 2021-07-07 12:58:16 +08:00 4
国内报警,然后找德国警方协作申请嫌疑人的访问记录和 IP 地址。然后电信机构查路由和 IP 记录,试试能不能揪出罪犯。
------参考 Tutanota 答疑------ Tutanota 可以匿名使用吗?你们会记录我的 IP 地址吗? 默认情况下,登录和发送邮件时不会记录 IP 地址,往来邮件中的 IP 地址也会被剔除,以免泄露您所在的位置。 只有当账户涉及谋杀、抢劫、勒索、儿童色情、炸弹袭击等重大犯罪时,我们才会依照德国法院下达的命令记录个人账户相关的 IP 地址。您可以在我们的博客详细了解德国的数据保护法律。 |
22
Telegram 2021-07-07 12:59:53 +08:00
你忽略了最重要的点,备份。
你防御再好,还不如定期异地备份。 比如你 web 权限被人拿到,一样可以连你内网数据库,密码再复杂也没用,都在配置文件里。 |
23
liuidetmks 2021-07-07 12:59:57 +08:00
一般而言,勒索应该是加密数据,对方极有可能没有原始数据,数据库毕竟太大了,传输不方便
|
24
Telegram 2021-07-07 13:02:36 +08:00 5
@DoctorCat #21 想太多了,除非你网站足够重要,经济损失足够大,或者你关系够铁。
不然网警不会这么闲帮你查,黑客是国内的还有可能 |
25
zhaokun 2021-07-07 13:03:28 +08:00
数据库只开内网
|
26
Ngink 2021-07-07 13:14:13 +08:00
之前我也碰到过,好像是 redis 远程执行导致的
|
27
ytll21 2021-07-07 13:20:33 +08:00
云数据库不是有自动备份功能的吗?而且没多少钱我记得
|
28
biguokang 2021-07-07 13:21:57 +08:00
@SpicaStar 不一定是真实用户,可能就是混币洗钱操作,因为有专门的混币机构服务或者程序,而且一般人家为了识别用户,每个人的价格都不一样,比如说对 A 的价格是 0.0180,对 B 的价格是 0.0181,然后通过转账记录金额看看谁付费了,诸如此类。。。
|
30
webshe11 2021-07-07 13:26:28 +08:00 via Android
3306 端口月经贴
|
31
gearfox 2021-07-07 13:28:02 +08:00
0.018BTC 算是良心价,狗头
|
32
sytnishizuiai 2021-07-07 13:30:39 +08:00
那公司数据库推荐买云服商的 rds 还是自建呢?
我之前 v2 搜了好多帖子,大部分人建议自建。 |
33
fanyingmao 2021-07-07 13:51:39 +08:00
好多把端口露出来的坑货,现在呆的公司运维把端口管死死的,也很麻烦。
|
35
275761919 2021-07-07 14:11:49 +08:00
我赶紧看下我的,一顿拒绝访问的记录,幸好里面没数据
|
36
berg223 2021-07-07 14:12:42 +08:00
不要慌,rm -rf 大概率是可以用软件恢复的
|
37
mxT52CRuqR6o5 2021-07-07 14:15:15 +08:00 1
等币难后再支付
|
38
berg223 2021-07-07 14:18:22 +08:00
|
39
RichXu 2021-07-07 14:39:46 +08:00
开放到公网的默认端口都要改,不然中招是迟早的,22,3306,27017 之类的,改端口又不难,改完保险很多很多很多,至少我改了之后再也没被黑过了
|
40
yitingbai 2021-07-07 14:40:44 +08:00
我的 mysql, redis 等等都是公网可访问的, 主要就是为了自己方便用, 把密码设置的复杂一点, 密码不要二次使用, 怎么可能会被爆破呢, 这么多年我也没被入侵过啊, 每天的尝试登录日志倒是有很多. 唯一需要担心的可能就是服务本身有漏洞
|
42
Marszm 2021-07-07 16:07:31 +08:00
草。。。血压拉满了。。赶紧备份一波数据库。。
|
44
herozzm 2021-07-07 16:16:47 +08:00 via Android
备份呢
|
45
Light3 2021-07-07 16:18:04 +08:00
emmm 只删数据库了吗 代码图片什么的没动?
|
46
TORYOI 2021-07-07 16:22:25 +08:00
备份的重要性,有备份的话还好一些
|
47
Hack3rHan 2021-07-07 16:23:50 +08:00
公网 3306 开了也就开了,你再整个弱口令那真就是白给。
|
48
Swimming 2021-07-07 16:24:39 +08:00
有客户 ERP 系统被攻击的,南京找人按勒索价格 6 折解密(极有可能是黑客本人或者代理)
|
49
WangYouGX 2021-07-07 16:27:48 +08:00
我都是 root 只允许本地登录,普通账户要录入数据只能通过存储过程,并无其他写入权限
ssh 是 40 多位的密码 |
51
breezeFP 2021-07-07 17:45:29 +08:00
用 ssh 隧道啊
|
52
sakishum 2021-07-07 17:56:37 +08:00
我也试过中招, 但我数据库里什么重要的数据也没有😂
|
53
libook 2021-07-07 18:09:31 +08:00
有的数据库本身安全策略上有缺陷,如果没有经过仔细配置的话就容易被人连上操作,这个你只要把数据库端口暴露到外网就有风险。
另外对于关系型数据库还可以通过后端服务的 API 来进行注入,同样可能可以做到把数据导出并删库。 所有服务全走 VPN,包括 SSH 和远程和桌面,是比较稳妥的方案。 如果是企业生产用途的话,可以参照网络安全等级保护的要求,除了安全策略还有容灾备份。 |
54
polyang 2021-07-07 18:38:21 +08:00
@libook 一般来说只要把默认端口号换成其他的就可以了,黑客不会有那么闲,专门针对你的服务器,一个个端口去试,一般都是用默认端口扫描 ip 吧
|
55
wangxin13g 2021-07-07 18:39:07 +08:00
3306 日经+1 listen 127.0.0.1+ssh 公钥登陆 花个半个小时就能避免的问题
|
56
Cookieeeeee 2021-07-07 18:44:31 +08:00
备份呢
|
57
darknoll 2021-07-07 18:44:54 +08:00
3306 算啥,我 3389 出事了说什么了吗
|
58
Cookieeeeee 2021-07-07 18:45:37 +08:00
我之前网站上线当天被删库,套路和你一样,还好有备份。。。
|
59
uiosun 2021-07-07 18:56:34 +08:00
|
60
hushao 2021-07-07 19:15:40 +08:00
云主机的话,快照也很方便的呀,随便他删,一键还原😂
|
62
Edcwsyh 2021-07-07 20:23:54 +08:00
巧了, 前不久我同学的数据库也被黑客黑了.....留言和楼主的也大差不差
建议还是不要开启 root 用户的远程访问 |
63
zhaohua 2021-07-07 21:07:49 +08:00
我付款了, 但是对方没给数据, 这帮人一点职业道德都不讲.
|
64
byzf 2021-07-07 21:49:22 +08:00
这咋破解的?暴力破解?
|
65
exploreexe 2021-07-07 22:22:29 +08:00
前几天看到一个电脑裸奔被黑的,今天看到一个 3306 扔公网的。
咋说呢,既然都裸奔了敢放公网了,还纠结被黑干嘛? 线下跟很多人说过,你这样做不安全,人家觉的你多余,说没事,没啥重要数据,改天给我发消息,说服务器被黑了,问我咋解决,这不活该么?再过来问我咋解决?真的是蠢的不行。 |
66
felixin 2021-07-08 00:35:29 +08:00 via Android
都是怎么被黑的?云主机没有安全组?只开放 ssh 公钥登陆端口,用 vscode 连上去,和操作本地一模一样,可以直接把远程端口转发到本地,公网上根本没有任何痕迹
|
67
a719031256 2021-07-08 08:45:37 +08:00
估计是内鬼干的
我们测试数据库被黑了两次 第一次是弱密码,第二次是 16 位随机密码 第一次也就算了,第二次我想不明白怎么泄露的 |
68
jack778 2021-07-08 09:30:01 +08:00
@a719031256 可能是服务器直接被黑了
|
69
wobuhuicode 2021-07-08 09:34:42 +08:00
上年 11 月也经历过
我回个邮件给它们说我有备份数据的习惯,这比特币我就省下来了。 |
70
mingl0280 2021-07-08 09:41:17 +08:00
3306 放公网,加弱口令……
这是啥操作…… |
71
matrix67 2021-07-08 09:47:01 +08:00
@wobuhuicode 你还气他们,不怕贼偷,就怕贼惦记
|
72
mh 2021-07-08 10:06:06 +08:00
去年我司也遇到过,3306 端口没有限制 ip 访问,还好是测试环境
|
73
libook 2021-07-08 10:28:09 +08:00 1
@polyang #54
都要改端口号了,把没必要暴露出去的端口改监听本机或局域网,成本是一样的,效果还更好。 分布式的肉鸡全端口扫描并不需要消耗黑客一秒的时间,肉鸡不值钱,有一大批物联网设备可以用,全端口扫描也就是加个循环的事,这点并发量跟 DDos 比九牛一毛都不算。 遭到分布式的全端口扫描的概率也并没有低到可以忽略的程度,毕竟门槛太低了。 不过任何安全策略就是求一个成本和风险的平衡,成本高、风险能接受就可以考虑不做。 |
74
lonelymarried 2021-07-08 10:46:03 +08:00
我用 docker 跑的 mysql,这种情况没问题嘛?我尝试了外网连不上。
|
75
moioooo 2021-07-08 11:09:24 +08:00
基本不可能有备份的。
黑客入侵之后删光,留个 readme 就行。剩下的就看你上不上钩 如果还要备份,那就得打包上传,时间长容易被发现不说,还要存储成本,傻子才这么做呢。 |
76
philchang1995 2021-07-08 11:11:03 +08:00
这家伙的钱包地址交易量挺大啊
|
77
xiangyuecn 2021-07-08 11:14:37 +08:00
裸奔不可怕,没有备份才是最可怕
|
78
CasualYours 2021-07-08 11:30:10 +08:00
我的数据库之前也被删库了,备份他们是不可能备份的,看日志只是执行了几个 drop 命令。
|
79
sobigfish 2021-07-08 11:39:41 +08:00
远程可访问的数据库,好家伙,我以为只要外包才这么干(还真在比较大的外包公司见过,运维就跟智障一样开了我们(甲方)的远程)
|
80
sakura1 2021-07-08 12:00:16 +08:00
所以黑客是通过本地 mysql 客户端直接就连进去了吗。。。
|
81
Rh1 2021-07-08 14:08:48 +08:00 via iPhone
0.018 个 BTC 真的很良心了……这黑客也太没出息了吧
|
82
Mac 2021-07-08 16:41:55 +08:00
3306 改端口是常识,我就算改了端口,我还做了两道备份,每小时一次。阿里云和腾讯云的存储各一个。
要不是带宽有限,我甚至想做同步。 |
83
dengshen 2021-07-08 16:48:54 +08:00 via iPhone
使用证书登陆+fail2ban+改端口
|
84
xuanzc880 2021-07-08 19:12:24 +08:00
公网开放端口防火墙设置白名单是基本的.
|
86
ZhaoHuiLiu 2021-07-09 09:13:12 +08:00 via Android
数据库绑定 ip 地址访问不就好了,为啥那么笨呢
|