2017.01数万个mongodb数据库被攻击,一定要给mongodb数据库加权限!

最新推荐文章于 2024-04-26 13:53:30 发布
最新推荐文章于 2024-04-26 13:53:30 发布
阅读量252 收藏
点赞数
文章标签: 数据库 python
原文链接:https://my.oschina.net/u/2480757/blog/821649
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

##前言 最近好多mongodb数据库用户数据被删除,并且被勒索。包括我自己。
由于之前不太懂,并没有对数据库设置权限就可以直接用。
于是产生如下悲剧:
输入图片说明

随后查看服务端日志:
输入图片说明

详细经过
##一、win7下尝试自己攻击自己的数据库

  • cmd进入自己的mongdb安装目录bin目录,然后做如下操作,轻轻松松可以插入成功,真尴尬!!!
    输入图片说明

##二、解决问题 网上搜了一下,先给mongodb加权限。

mongod --dbpath "C:\Program Files\MongoDB\Server\3.2\bin\data\db" --logpath "C:\Program Files\MongoDB
\Server\3.2\bin\data\log\MongoDB.log" --auth

输入图片说明

  • 2.2、新建管理员用户和数据库用户,注意这儿不能用addUser,而是createUser。因为addUser貌似是老版本的。参考博客
    这里用到的命令:db.system.users.find();查找所用数据库用户。db.createUser({})创建用户。

输入图片说明

  • 2.3、(1)、再次连接的时候提示需要auth权限、(2)、先user admin,然后db.auth(用户名,密码);返回1表示授权成功。
    输入图片说明

  • 2.4、mongoose连接授权过的mongodb。这样应该就可以安全的操作数据库了。

/**
 * 假如我们这里使用数据库test,所设置的用户名和密码都是test。
 */
module.exports={
    mongodb:"mongodb://test:test@localhost/test"
}

参考博客

##二、待解决问题。 robomongo此时可以通过admin的用户名密码可以登录成功。
输入图片说明
但是admin的用户名密码并不能操作某一个数据库。如我们当我点击test会报错。这样的话,我操作数据库只能再cmd下了,着实不太方便。
输入图片说明

转载于:https://my.oschina.net/u/2480757/blog/821649

weixin_33698823
关注
数据库从入门到精通01
cgblpx的博客
04-27 11万+
#数据库应用 ##1.1 概念 1 ###1.1.1 什么是数据库 1 ###1.1.2 关系型和非关系型 13 ###1.1.3 关系型数据库 14 ##1.2 Mysql工具安装 14 ###1.2.1 MySQL数据存放在哪里? 14 ###1.2.2 MySQL服务端 15 ###1.2.3 MySQL客户端1:DOS窗口 19 ###1.2.4 MySQL客户端2:可视化工具 20 ##1.3 数据库的结构 21 ###1.3.1 数据库结构 21 ##1.4 SQL语句 21 1.4.1 定义
Qt连接mongoDB
weixin_43435233的博客
01-20 4506
最近要做一个数据可视化的项目,第一次使用mongoDB踩了不少的坑。废话少说直接开始 #配置环境 1.安装 cmake https://cmake.org/download/ 2.安装 boost https://cmake.org/download/ 下载完成后解压,以管理员权限打开一个终端(安装时可能需要管理员权限)进入解压后的boost目录。 ./bootstrap.bat (得到bjam.exe 和 b2.exe) ./b2.exe --prefix=DIR install 3.安装vi
MongoDB数据库遭大规模勒索攻击,被劫持26000多台服务器
weixin_34326558的博客
09-05 240
刚刚曝出的大新闻,MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。   “MongoDB启示录”再临? 此次攻击由安全专家Dylan Katz和Victor Gevers发现,被他们称为是“MongoDB启示录”的延续。所谓的“MongoDB启示录”事件始于2016...
MongoDB攻击 - 开启Mongo权限
Moon Star
05-02 720
What happen? 就在刚刚。。。???? 打开我的网站的时候,发现对数据库的请求都失败了;我的天都报500了,又是什么bug???? 排查到数据库的时候,打开Robo 3T,发现数据库没有了,惊呆????!!! 继续查看Mongo日志 很明显被删掉了; why? (纳闷????,别人怎么知道我密码,怎么删掉的?)在网上查了之后,知道是因为数据库没有添权限 自己...
MongoDB勒索攻击
Listen2You的博客
04-13 812
导读 攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门。 安全研究人员兼微软开发人员Niall Merrigan一直在追踪MongoDB勒索攻击事件,有一天,他突然看到攻击次数从12000增到27633。与勒索软件攻击不同,其中数据被密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。 MongoDB勒索攻击蔓...
MongoDB攻击风波未平,如何避免黑客入侵?
weixin_34194379的博客
06-06 299
从“大批 MongoDB 因配置漏洞攻击,数据被删”一文可以看到,近日境外勒索集团黑客正大规模利用企业使用 MongoDB 开源版时的配置疏漏进行入侵,给自建 MongoDB 数据库服务的企业造成不小的安全隐患。 目前对于该事件的讨论非常多,各企业和各方大拿也给出了自己的看法和解决建议。以下是阿里云发布的文章,在此选取了部分精彩内容并分享给大家: 问...
MongoDB的授权和权限
每天积累一点,一年后你会发现,自己变化很大
05-12 741
1. 在开启MongoDB 服务时不添任何参数时,可以对数据库任意操作,而且可以远程访问数据库。如果启动的时候指定—auth参数,可以对数据库进行用户验证。            $ ./mongod --auth >> mongodb.log & 开启            ./mongo MongoDB shell version: 1.8.1 connecting to: test
Hadoop之MongoDB(安装、配置、数据库操作)
qq494370的博客
04-14 1951
MongoDB数据库 1. 理论知识 (1)数据库分类 数据库主要分成两种: 关系型数据库 MySQL、Oracle、DB2、SQL Server …… 关系数据库中全都是表 非关系型数据库 MongoDB、Redis …… 键值对数据库 文档数据库MongoDB (2)MongoDB简介 MongoDB是为快速开发互联网Web应用 而设计的数据库系统。 MongoDB的设计目标是极简、灵活、作为...
scala连接mongodb_Scala对MongoDB的增删改查操作
weixin_39794385的博客
12-21 541
======================================================================================依赖环境:jdk1.8、Scala 2.12、ideamongodb Driver:3.1.1。注意,mongo for scala的驱动涉及多个jar(如下图),依赖于mongo-java-driver.jar这里使用的sbt...
db2数据库连接数 linux_linux db2 连接数据库
weixin_39588419的博客
12-19 852
MongoDB基本用法1、windowswindows环境下使用mongodb可以安装可视化工具比如:mongobooster, robomongo等2、linuxlinux下mongo数据库的基本操作如下:连接mongo数据库:mongo xxx.xxx.xxx.xxx:xxx显示上图表示正...文章小西blue2016-11-17536浏览量DB2 手动安装 on Linux环境:RedHa...
MongoDB数据库遭受勒索攻击,千万不要妥协
weixin_39103552的博客
03-30 1227
2020年3月份,MongoDB遭到了勒索。 对方要求支付0.1个比特币,因为数据比较重要,数据备份又没有做好,想尝试要回数据。 结果:钱没了,数据也丢了。 总结:遇到此类情况,千万不要妥协!千万不要妥协!千万不要妥协! 清楚数据备份的重要性,不要将数据库暴露在公网上! 举报地址:https://www.bitcoinabuse.com/reports/crea...
记录一次mongodb攻击
m0_46205920的博客
05-14 614
这几天自己没事做在研究Java爬虫,爬取了某电影网站几万部电影下载链接,存到了云服务器的mongodb中,这个云服务器只是用来自己开发小东西玩的,IP没有暴露过所以Redis和MongoDB就没密,结果还是被扫描到端口黑了。 三万多电影全被清了,存了一个README的Collection,只有如下这条数据: 大概意思就是你的所有数据被清除了,需要48小时内支付0.015比特币,否则数据就会被泄露给某某某 查看日志如下: 断断续续有三个IP在凌晨连接过MongoDB,德国 美国匹斯堡 幸好数据并没有什
MongoDB最佳安全实践
老王Plus
05-27 292
在前文[15分钟从零开始搭建支持10w+用户的生产环境(二)]中提了一句MongoDB的安全,有小伙伴留心了,在公众号后台问。所以今天专门开个文,写一下关于MongoDB的安全。 一、我的一次MongoDB被黑经历 近几年,MongoDB应用越来越多,MongoDB也越来越火。 从2015年开始,MongoDB被一些「非法组织/黑客」盯上了。他们的做法也很简单,连到你的数据库上,把你的数据拿走,然后把你的库清空,留一个消息给你,索要比特币。 跟最近流行的勒索病毒一个套路。   我在某个云上有一台服务器,.
Meow攻击删除不安全(开放的)的Elasticsearch(及MongoDB) 索引,建一堆以Meow结尾的奇奇怪怪的索引(如:m3egspncll-meow)...
GJLNaughtyCat的专栏
08-05 1692
07月29日,早上一来,照例先连接Elasticsearch查看日志【禁止转载,by @CoderBaby】,结果,咦,什么情况,相关索引被删除了(当天正在写入数据的索引,不能被删除),产生了一堆以Meow结尾的奇奇怪怪的索引,如下图: 一阵紧张、懵逼,赶紧查看日志,发现如下问题:系统在远程连接并下载执行一个脚本,如下(慌张): [2020-07-28T14:02:02,540...
MongoDB数据库又被勒索攻击
pandazhengzheng的博客
02-17 1236
MongoDB数据库又被勒索攻击
大批 MongoDB 因配置漏洞攻击,黑客删除数据
Hacker_gangg的博客
12-28 1064
大批 MongoDB 因配置漏洞攻击,黑客删除数据并勒索赎金
服务器又一次被恶意攻击MongoDB被删库
点滴汇聚,智在积累。——Danny
06-09 4456
一台裸奔在云服务器上的MongoDB 前几天在自己个人的一台腾讯云服务器上安装了MongoDB,当时着急用,就用的默认配置(端口是默认端口,也没设置密码),后来就把这事抛到脑后了,也因为经常用无线网卡上网,ip经常是动态的,云服务器的安全组就放开了所有的ip。 完全就是一台裸奔在云上的数据库 ???? ???? ???? 被攻击 下午忙完工作,为了方便学习,把MongoDB里的几条主要数据(json)都备份成.json文件了,然后就去吃饭。吃饭回来MongoDB客户端连接失效,重连了一下MongoDB,建的
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
最新发布
2401_84252281的博客
04-26 1086
任务环境说明:服务器场景:Server1。
大批 MongoDB 因配置漏洞攻击,数据被删
weixin_34277853的博客
06-06 1083
无需身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被密,受害者必须支付赎金才能找回自己的数据。 攻击者利用配置存在疏漏的开源 MongoDB 数据库展开了一系列勒索行为。此番针对 MongoDB 的勒索行为最早是由 GDI Foundation 的安全研究人员 Victor Gevers 在2016年12月...
Node.js与Mongoose:MongoDB数据库操作实战
在Node.js环境中,Mongoose是一个非常重要的库,它提供了一种方便的方式来操作MongoDB数据库。作为一款强大的对象数据建模工具,Mongoose简化了与MongoDB的交互,使得在Node.js应用程序中处理CRUD(创建、读取、更新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值