你的MongoDB Redis设置用户名密码了吗?看看shodan这款邪恶的搜索引擎吧!~

最新推荐文章于 2024-09-08 10:40:56 发布
最新推荐文章于 2024-09-08 10:40:56 发布
阅读量170 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/SpringRen/p/6284787.html
版权

早上看新闻的时候看到了个醒目的新闻

开源中国:MongoDB 赎金事件持续发酵,究竟是谁之过?
博客园:MongoDB数据库勒索,中国受害者数量超乎你的想象,SOS!

1. 由于自己之前做过的项目,Redis也是开放式的登录。

也就是知道 ip 端口号就能直接连上去了。本着别人又不知道我们的ip跟端口号的原则,额……

然后中间看到这句话:

img

2. 然后我就抱着试试看的态度,打开这个Shodan->邪恶的网站

顺手搜了一下MongoDB:

img

看到各种MongoDB的实例,我就缩小了范围点了China:

img

比如说这一条:

img

这种能看到数据库信息的基本上都是能直接登录,不需要用户名密码的。

3. 花了1分钟,就找到了5个能够直接看到数据的

img
当然增删改查都没问题……

看到这里你还不去改MongoDB的设置吗?

4. 那么我们再看看 redis的,搜索过程比较简单我就省了。你就看看结果:

img

顶部是连接方式,用redis的人大多都不会改它的默认端口号。
所以想都很不要想用6379就好了。

然后keys * 看看它所有的键值对.

5.即使6379端口号不能用,那么你在看看他的详细信息:

img

什么都告诉你了……

6.为什么我拿的那些信息没有打马赛克?

因为这个搜索工具太方便了,这些信息太容易得到了……

转载于:https://www.cnblogs.com/SpringRen/p/6284787.html

weixin_30832143
关注
【信息收集】——3、信息收集指南
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
3.3. 端口信息
Sumarua的博客
07-01 314
3.3. 端口信息 3.3.1. 常见端口及其脆弱点 FTP 21 默认用户名密码 anonymous:anonymous 暴力破解密码 VSFTP某版本后门 SSH 22 暴力破解密码 Telent 23 暴力破解密码 SMTP 25 无认证时可伪造发件人 DNS 53 UDP 域传送漏洞 DNS劫持 DNS缓存投毒 DNS欺骗 SPF / DMARC Check DDoS DNS Query Flood DNS 反弹 DHCP 67/68 劫持/欺骗 TFTP
Mysql,Redis,MongoDB 数据库加密,以及远程登录 服务器上的数据库
Faker_Second的博客
08-17 394
服务器: Ubuntu16.04  数据库版本: redis-cli   3.0.6 mysql  Ver 14.14 mongod v3.2.20  ### 在本地 远程连接云服务器 Mysql 数据库 1, 先在云端登上Mysql数据库,use Mysql;修改user表里的root用户 2, grant all privileges on *.* to 'root'@'%' ...
屌絲--專訪李毅
weixin_30293079的博客
09-19 577
他们没钱、没背景、没未来, 他们爱DOTA、爱帝吧、爱搬砖, 在“高帅富”面前,他们只有跪的命, 鼓足勇气跟“女神”搭讪, 只换来一句“干嘛,呵呵,去洗澡” 他们都爱李毅大帝,他们是——屌丝 “屌丝”最早的来源是百度“魔兽世界吧”对“李毅吧”球迷的恶搞称谓,有嘲讽之意,却被李毅吧的球迷领受下来。“屌丝”二字蕴含着无奈和自嘲的意味。“屌丝”们自我评价“穷、丑、矮、矬”,这和“高、富、帅”的富二代与官...
python试爬李毅吧贴子标题,爬虫最初级
119365374的专栏
08-21 2359
注:以下所有python代码均运行于2.7.0 最近想抓点数据存起来,开始捣鼓python。爬虫技术以前没接触过,这一回就当练手,从零开始,从最原始的方式开始。先定个小目标,抓一下著名的“李毅吧”的一些贴子标题。 要爬数据,第一步肯定是网络请求,在这里主要是指get/post请求。第二步是对返回的html进行解析。第三步是从解析后的DOM树里取我们想要的东西。 在这些步骤进行之前,要先安装lxml
〖教程〗LadonGO MongoDB密码爆破27017端口
K8哥哥
07-27 976
Wiki http://k8gege.org/Ladon/LadonGo.html 简介 LadonGo一款开源内网渗透扫描器框架,使用它可轻松一键探测C段、B段、A段存活主机、指纹识别、端口扫描、密码爆破、远程执行、高危漏洞检测等。3.8版本包含32个功能,高危漏洞检测MS17010、SmbGhost,远程执行SshCmd、WinrmCmd、PhpShell,12种协议密码爆破Smb/Ssh/Ftp/Mysql/Mssql/Oracle/Sqlplus/Winrm/HttpBasic/Redis/Mong
韩式多用动态图(浪漫情侣)
热门推荐
小小的素材库
09-02 44万+
 screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=hand; this.alt=点击查看大图; this.title=点击查看大图;}" src="http://p8.images22.51img1.com/6000/xiayu8059/8a339b19d0b178
New Kids On The Block (Part I) -- Shodan/ BinaryEdge/ ZoomEye 网络空间搜索引擎测评
晓得哥的博客
07-02 446
1.前言 许多IT行业的安全研究人员都会遇到这样的情况,他们需要来自技术层面的OSINT(网络空间搜索引擎)数据[1]。也许他们是想调查目标所遭受的攻击面,进行被动侦察,或者想要测量攻击的整体威胁等级。例如去年出现的memcached DDoS 攻击,其放大率为10,000倍甚至更高。Shodan当天发布的第一份报告显示,大约有17,000个易受攻击的服务器在线,这很容易被防火墙列入黑名单。 很长...
Web渗透测试-实战 方法 思路 总结
m0_55595611的博客
02-21 9437
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
喵喵机器人:致力于清除没有设置安全保护的数据库
blackorbird的博客
07-23 1612
在相继迎来了两大波关于Mongodb和ElasticSearch的自动化入侵攻击后【Mongodb服务器正被自动化入侵,备份并删库企图进行勒索】【ES服务器正被自动化入侵,删库后嫁祸给安...
mongodb 破解 无限用
03-14
非常好用的破解工具,mongoDB永不过期,已经亲测,非常好用!
计算机的端口、端口漏洞
freeking101的博客
04-14 3万+
计算机 相当于 大楼 端口 相当于 门牌号对应的门 应用程序 相当于 办公室,程序的功能就是办公室里面职员做的工作。
Shodan新手使用指南
浮生若梦的专栏
12-05 5万+
什么是 Shodan? 首先,Shodan 是一个搜索引擎,但它与 Google 这种搜索网址的搜索引擎不同,Shodan 是用来搜索网络空间中在线设备的,你可以通过 Shodan 搜索指定的设备,或者搜索特定类型的设备,其中 Shodan 上最受欢迎的搜索内容是:webcam,linksys,cisco,netgear,SCADA等等。 那么 Shodan 是怎么工作的呢?Shodan 通过
常见数据库漏洞
a1b2c3是弱口令
08-22 8982
MySQL数据库 默认端口:3306 攻击方法: 爆破:弱口令 身份认证漏洞:CVE-2012-2122 拒绝服务攻击 Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意 提权 参考: https://www.seebug.org/appdir/MySQL http://www.waitalone.cn/my...
SHODAN的使用介绍
hacker681的博客
12-22 5060
(官网是https://Shodan.io) 搜索联网的设备 在白框里边搜就行了可以自己指定也可以通过设定好的语句搜索 你有一个IP地址想看看同一个C段 所有的主机都开放了哪些端口 net:IP地址 会告诉你主机放在哪里可以点一下IP地址,会告诉你开放了哪些端口走的什么服务,会在上方显示IP位置 想查C类地址段加一个0/24 net:1.1.1.0/24 举例 80或者443和FTP可...
信息收集之利用Shodan搜索ico相同的网站
谢公子的博客
04-27 5556
在进行红蓝对抗的时候,想查找某个集团的子网站,于是,我们可以利用Shodan搜索相同ico的网站。 import mmh3 import requests from requests.packages.urllib3.exceptions import InsecureRequestWarning requests.packages.urllib3.disable_warnings(Ins...
easy-mock 本地搭建 (高级版 针对redismongodb有账号密码处理)
gaoqiang1112的博客
07-26 2469
=====================================2019.7.26追加===================================== 高潮来了 网上所有关于easymock本地搭建的 都没有讲到 如果遇到带有密码redismongodb 如何处理 这里我来教一下吧 本文最下面 我已经放了 redismongodb 设置账号密码的指令 如果不全的...
spring事务详细讲解-深入浅出
最新发布
小电玩
09-08 517
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
mongodb6设置用户名密码
05-27
MongoDB 6 中设置用户名密码,可以按照以下步骤进行: 1. 启动 MongoDB 6 服务,并进入 mongo shell。 2. 切换到 admin 数据库:`use admin`。 3. 创建一个超级用户并授权: ``` db.createUser( { user: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值