F**K,数据库被黑客删光了

2021-07-07 11:56:47 +08:00
 baiyuxiong

删的啥都没了,建了一个 README 表。里面写了句话:

以下数据库已被删除:**** 。 我们有一个完整的备份。 要恢复它,您必须将 0.018 比特币( BTC )支付给我们的比特币地址 bc1qs82lvzrrag7aqpnyme4njv32qquky0slrclftr 。 有关说明,请通过 yang21@tutanota.com 通过电子邮件联系我们。 任何与付款无关的邮件都将被忽略!

反思: 1 、不要开放 3306 端口公开访问 2 、密码设置的要复杂

15794 次点击
所在节点    信息安全
86 条回复
Bisyfish
2021-07-07 20:12:23 +08:00
@darknoll 3389 也算常用端口了
Edcwsyh
2021-07-07 20:23:54 +08:00
巧了, 前不久我同学的数据库也被黑客黑了.....留言和楼主的也大差不差
建议还是不要开启 root 用户的远程访问
zhaohua
2021-07-07 21:07:49 +08:00
我付款了, 但是对方没给数据, 这帮人一点职业道德都不讲.
byzf
2021-07-07 21:49:22 +08:00
这咋破解的?暴力破解?
exploreexe
2021-07-07 22:22:29 +08:00
前几天看到一个电脑裸奔被黑的,今天看到一个 3306 扔公网的。
咋说呢,既然都裸奔了敢放公网了,还纠结被黑干嘛?

线下跟很多人说过,你这样做不安全,人家觉的你多余,说没事,没啥重要数据,改天给我发消息,说服务器被黑了,问我咋解决,这不活该么?再过来问我咋解决?真的是蠢的不行。
felixin
2021-07-08 00:35:29 +08:00
都是怎么被黑的?云主机没有安全组?只开放 ssh 公钥登陆端口,用 vscode 连上去,和操作本地一模一样,可以直接把远程端口转发到本地,公网上根本没有任何痕迹
a719031256
2021-07-08 08:45:37 +08:00
估计是内鬼干的
我们测试数据库被黑了两次
第一次是弱密码,第二次是 16 位随机密码
第一次也就算了,第二次我想不明白怎么泄露的
jack778
2021-07-08 09:30:01 +08:00
@a719031256 可能是服务器直接被黑了
wobuhuicode
2021-07-08 09:34:42 +08:00
上年 11 月也经历过
我回个邮件给它们说我有备份数据的习惯,这比特币我就省下来了。
mingl0280
2021-07-08 09:41:17 +08:00
3306 放公网,加弱口令……
这是啥操作……
matrix67
2021-07-08 09:47:01 +08:00
@wobuhuicode 你还气他们,不怕贼偷,就怕贼惦记
mh
2021-07-08 10:06:06 +08:00
去年我司也遇到过,3306 端口没有限制 ip 访问,还好是测试环境
libook
2021-07-08 10:28:09 +08:00
@polyang #54
都要改端口号了,把没必要暴露出去的端口改监听本机或局域网,成本是一样的,效果还更好。

分布式的肉鸡全端口扫描并不需要消耗黑客一秒的时间,肉鸡不值钱,有一大批物联网设备可以用,全端口扫描也就是加个循环的事,这点并发量跟 DDos 比九牛一毛都不算。

遭到分布式的全端口扫描的概率也并没有低到可以忽略的程度,毕竟门槛太低了。
不过任何安全策略就是求一个成本和风险的平衡,成本高、风险能接受就可以考虑不做。
lonelymarried
2021-07-08 10:46:03 +08:00
我用 docker 跑的 mysql,这种情况没问题嘛?我尝试了外网连不上。
moioooo
2021-07-08 11:09:24 +08:00
基本不可能有备份的。
黑客入侵之后删光,留个 readme 就行。剩下的就看你上不上钩
如果还要备份,那就得打包上传,时间长容易被发现不说,还要存储成本,傻子才这么做呢。
philchang1995
2021-07-08 11:11:03 +08:00
这家伙的钱包地址交易量挺大啊
xiangyuecn
2021-07-08 11:14:37 +08:00
裸奔不可怕,没有备份才是最可怕
CasualYours
2021-07-08 11:30:10 +08:00
我的数据库之前也被删库了,备份他们是不可能备份的,看日志只是执行了几个 drop 命令。
run2
2021-07-08 11:39:41 +08:00
远程可访问的数据库,好家伙,我以为只要外包才这么干(还真在比较大的外包公司见过,运维就跟智障一样开了我们(甲方)的远程)
sakura1
2021-07-08 12:00:16 +08:00
所以黑客是通过本地 mysql 客户端直接就连进去了吗。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/788046

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX