Mongodb被黑经历

最新推荐文章于 2024-02-17 00:16:34 发布
VIP文章 最新推荐文章于 2024-02-17 00:16:34 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: 后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VanciorH/article/details/80265681
版权

Mongodb被黑经历

被黑与安全措施

昨晚有人跟我说登录yapi显示用户不存在,我自己尝试了管理员账户也是如此。第一个想到的是会不会数据库掉了,ps aux | grep mongod之后发现仍然在,接着去查看mongodb,看到yapi的数据库显示为(empty),一开始不明白,看了SegmentFault,结果发现自己的情况是一摸一样的,有一个Warning的数据库,里面还有一个Readme表,被黑无疑。
Warning.Readme

首先要进行反思,为什么会被攻击。首先这种攻击肯定是AOE,对于我们这样的学生项目也没什么必要进行勒索,那么问题往往就出现在自己这里。当我拿到腾讯云学生服务器的时候,其安全组策略是默认开放全部端口,并且我使用了mongodb的默认27017端口,所以如果黑客进行了广撒网式的攻击,这样的安全策略式很容易中招的。另外我记得我开启了mongod的auth模式,应该不是因为我使用了无认证模式导致数据库随便就被黑了。

所以参考

最低0.47元/天 解锁文章
VanciorH
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MongoDB后,设置用户名和密码
xiaohuBetter的博客
04-30 462
MongoDB裸奔之后有感
mongodb 4.4.19
11-14
mongodb-org-4.4.19-1.el7.x86_64.rpm mongodb-org-mongos-4.4.19-1.el7.x86_64.rpm mongodb-org-server-4.4.19-1.el7.x86_64.rpm mongodb-org-shell-4.4.19-1.el7.x86_64.rpm mongodb-org-tools-4.4.19-1.el7.x86_...
YApi禁止注册后,怎么新增用户呢
fangling86的专栏
10-24 4335
禁止用户注册 yapi 平台后,如何新增用户
mongodb7.0.0安装包
09-04
mongodb7.0.0安装包,windows64
MongoDB数据库又被勒索攻击了
最新发布
pandazhengzheng的博客
02-17 1049
MongoDB数据库又被勒索攻击了
苍穹外卖项目学习笔记
PPB1806960693的博客
12-04 564
在双击运行nginx.exe时没有反应,在该文件见下执行cmd命令: nginx -t 发现0.0.0.0:80端口被占用,查询占用端口号进程的pid。网上搜索解决办法说是SQL server reporting service 服务导致的,但是在我关闭该服务后仍然还是被占用,无奈更改nginx的端口。更改nginx端口需要更改nginx.conf文件,于是先备份一份,以免出错。运行nginx.exe,登录http:127.0.0.1:81。打开文件,找到server模块,更改端口号为81。
YApiAPI管理平台
小树苗
08-29 2112
YApi 让接口开发更简单高效,让接口的管理更具可读性、可维护性,让团队协作更合理。 环境要求 nodejs(7.6+) mongodb(2.6+) git 下面MongoDB安装方式二选一(推荐yum安装): #二进制安装MongoDB4.0: 官网下载地址:https://www.mongodb.com/download-center?jmp=nav#communit...
接口管理平台YApi坑死我了(超级详细实操教程) - 421篇
热门推荐
悟纤学院
03-28 1万+
为提高接口管控效率,一个非常好用的接口管理平台-YAPI应运而生,让我们一起来看,YAPI有多么的优秀。
大批 MongoDB 因配置漏洞被攻击,客删除数据
Hacker_gangg的博客
12-28 974
大批 MongoDB 因配置漏洞被攻击,客删除数据并勒索赎金
记一次MongoDB经历,你需要一份最佳安全防护指南
资料免费分享,点击名片
05-13 1296
一、我的一次MongoDB经历 近几年,MongoDB应用越来越多,MongoDB也越来越火。 从2015年开始,MongoDB被一些「非法组织/客」盯上了。他们的做法也很简单,连到你的数据库上,把你的数据拿走,然后把你的库清空,留一个消息给你,索要比特币。 跟最近流行的勒赎病毒一个套路。 我在某个云上有一台服务器,主要用来做各种研究和测试,随时可以格了重装的那种。上面跑着一个MongoDB,是用默认的参数简单启动的一个单实例。 早上起来,跑程序测试时,程序直接报错。 跟踪代码,发现是头天写进去的数据
MongoDB了,数据全消失。进行权限校验!】
诗和远方,代码和你
06-21 539
遇到的问题跟一篇博客(mongoDB 数据莫名其妙的没了)的描述一样:原因很简单,我修改的配置,bind_ip为 0.0.0.0,端口号用的默认的27017。这样很容易被扫描到,更何况我也没有设置用户名和密码,有些人设置的弱密码也很容易被破解,这就是光着身子在互联网上裸奔啊,人家写个脚本就能抓到,只能怪自己。我是通过Docker容器来使用MongoDB的,放在远程服务器中运行。测试开发时就不需要本机开启MongoDB了,(当然开发需要开启很多软件,例如redis、mysql、nacos注册中心,导致笔记本电
mongodb-测试数据
06-09
mongodb测试数据,学习增删改查等,或是用于性能测试
五、MongoDB 学习PPT
06-11
MongoDB 学习PPT
mongodb 4.0镜像
08-17
开源的分布式文件存储数据库mongodb 4.0镜像
MongoDB 5.0.6 windows版本
03-21
MongoDB 5.0.6 windows版本
spoon 连接mongodb
01-08
pdi-ce-7.1.0.0-12连接mongodb并设定时间参数查询数据
mongodb安装包和compass
08-24
mongodb安装包和compass mongodb安装包和compass mongodb安装包和compass 可在node学习过程中使用
mongodb安装包
01-23
MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像...
mongodb窗命令
11-02
MongoDB是一种NoSQL数据库,它的窗命令可以用于启动和管理MongoDB服务。以下是一些常用的MongoDB窗命令: 1. mongod:启动MongoDB服务。 2. mongo:连接到MongoDB数据库。 3. show dbs:显示所有的数据库。 4. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值