这是一个创建于 2865 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在腾讯云上弄的个最低配置的服务器,1 核 CPU,1G RAM,20G 硬盘,5Mbps 宽带,昨天突然发现访问不了了,今天看日志貌似是有人一直在不停地尝试登陆我的 MySQL,然后把我的数据库全部删掉了
怎么办呀?能恢复吗,能找出这个人来吗?谁能来给点指点啊
把我的机器给你,只求能恢复数据就好
第 1 条附言 2017-12-07 15:23:56 +08:00
我这种个人小网站他们黑我干嘛啊: http://cuishixiang.cn
我刚上线两三个月,他们黑了我这有什么用吗?背后是有什么产业链吗?虽然自己是做软件的,其实不懂互联网冰山下的那一个大角。
求分析
我刚上线两三个月,他们黑了我这有什么用吗?背后是有什么产业链吗?虽然自己是做软件的,其实不懂互联网冰山下的那一个大角。
求分析
 | 1 xomix 2017-12-07 14:12:00 +08:00 联系腾讯客服,看看那边有没有收费恢复的手段,你这云服务器没法拿硬盘恢复啊 |
 | 2 zlfzy 2017-12-07 14:15:10 +08:00 没有定时快照? |
 | 5 FFLY 2017-12-07 14:20:50 +08:00 数据库可以远程访问?你这安全措施也太差了吧。 |
 | 6 3dwelcome 2017-12-07 14:21:00 +08:00 via iPhone 是密码太简单、被爆破的吗?设的是几位密码? |
 | 9 QQ2171775959 2017-12-07 14:29:55 +08:00 这个就不好了。如果是独立的还好些,能够拿硬盘去恢复,VPS 只能看你有没有备份了。 |
 | 10 QAPTEAWH 2017-12-07 14:33:39 +08:00 drop schema 还是删文件?有没有开 binlog ? |
 | 11 cuiswing OP @QAPTEAWH 貌似没有开 我的 mysqld.log 日志中找到的一段: …… 2017-12-06T04:39:36.797433Z 1664 [Note] Access denied for user 'root'@'59.38.35.243' (using password: YES) 2017-12-06T04:39:37.000316Z 1665 [Note] Access denied for user 'root'@'59.38.35.243' (using password: YES) 2017-12-06T05:09:30.452113Z 1666 [ERROR] Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist 2017-12-06T05:09:30.452193Z 1666 [ERROR] Fatal error: Can't open and lock privilege tables: Table 'mysql.user' doesn't exist 2017-12-06T05:09:30.452232Z 1666 [ERROR] Can't open and lock privilege tables: Table 'mysql.user' doesn't exist …… 2017-12-06T05:09:38.568473Z 1666 [ERROR] Can't open and lock privilege tables: Table 'mysql.user' doesn't exist 2017-12-06T05:11:15.552781Z 1666 [Note] Aborted connection 1666 to db: 'unconnected' user: 'root' host: '58.221.49.79' (Got an error reading communication packets) 2017-12-06T05:15:27.895543Z 0 [Note] Giving 1 client threads a chance to die gracefully 2017-12-06T05:15:27.895634Z 0 [Note] Shutting down slave threads 2017-12-06T05:15:29.895817Z 0 [Note] Forcefully disconnecting 1 remaining clients 2017-12-06T05:15:29.895877Z 0 [Warning] /usr/sbin/mysqld: Forcing close of thread 584 user: 'root' 2017-12-06T05:15:29.895949Z 0 [Note] Event Scheduler: Purging the queue. 0 events 2017-12-06T05:15:29.928479Z 0 [Note] Binlog end 2017-12-06T05:15:29.949043Z 0 [Note] Shutting down plugin 'validate_password' 2017-12-06T05:15:29.955190Z 0 [Note] Shutting down plugin 'ngram' 2017-12-06T05:15:29.955228Z 0 [Note] Shutting down plugin 'partition' 2017-12-06T05:15:29.955233Z 0 [Note] Shutting down plugin 'BLACKHOLE' …… 这个是不是就是他登上去了把我的数据库删除了,连我的用户表都删了! 凌晨时干的 |
 | 12 shiji 2017-12-07 15:01:36 +08:00 @FFLY 他这个问题主要是因为弱口令。跟远程登陆没关系。 我的 MySQL root 开放远程登录好多年了。觉得密码不够安全可以 REQUIRE X509。跟破解 SSH 证书一样难。 |
| 14 cuiswing OP |
 | 15 loading 2017-12-07 15:18:10 +08:00 又一个弱密码受害者。 |
 | 16 topbandit 2017-12-07 15:27:14 +08:00 mysql 开 binglog |
| 17 topbandit 2017-12-07 15:27:57 +08:00  1 初级黑客拿你的站点爆破练习练习 |
 | 18 irainsoft 2017-12-07 15:30:37 +08:00 1 四位密码开远程访问还不做备份... 这心也太大了吧 |
| 19 cuiswing OP @topbandit 貌似没有开 binlog,那他爆就爆了啊,通知我一下也可以啊,干嘛删我的库呢? 这不就像是看见别人家的后门虚掩着于是跑进去把别人家东西搬空了嘛~ |
 | 21 chanssl 2017-12-07 15:45:23 +08:00 脚本每天都在扫这些,很正常,提高自己的安全意识吧。 |
 | 22 Felldeadbird 2017-12-07 15:47:21 +08:00 数据不多就重新来呗。 |
| 23 cuiswing OP @Felldeadbird 全是博客文章 图文( ⊙ o ⊙ )啊!无法重来了,一篇就得写好久 |
 | 24 zpf124 2017-12-07 15:55:20 +08:00 1 有许多 这样的人,处于各种目的,瞎逼祸害, 想想前段时间那波 爬煎蛋带起来的风波。 一个人在 v 站上秀他爬的成果,结果带起一堆无聊还没啥技术的人把人网站爬挂了。 黑客也同理,每天都有一大堆憧憬着成为黑客大神的网吧无业网瘾少年都在入行。 再有一个出于收徒赚钱或者炫耀目的的人发表一下他的成功,引起许多蝗虫没有目的纯粹为了攻击而攻击的人满世界扫描。 |
| 26 3dwelcome 2017-12-07 16:03:08 +08:00 喵的,吓的我赶快去重置了一个复杂长密码,楼主的案例告诉码农,公网可以访问的密码设置,千万别偷懒。。 |
 | 27 q409195961 2017-12-07 16:06:27 +08:00 看看度娘蜘蛛有没有去过你家爬,有的话,跪谢度娘,拿快照走人。 |
28 cuiswing OP @zpf124 哎真心酸 以前还觉得黑客这名字听起来真带劲,可是真的被自己遇到了才发现这么悲催 我觉得起码的道德要有吧。 有这个能力去黑了别人的网站,已经证明你的能力了何必还做些让他人不开心的事呢,你提醒他人一声多好啊 |
| 29 cuiswing OP |
| 30 cuiswing OP @q409195961 没有,我这小网站应该是不会被度娘爬到的,而且我的数据都是从数据库异步获取的,静态页面没什么内容 |
 | 32 SourceMan 2017-12-07 16:50:00 +08:00 《 Linux 服务器的初步配置流程》 http://www.ruanyifeng.com/blog/2014/03/server_setup.html |
 | 33 ytpfxnj 2017-12-07 16:53:37 +08:00 $ nmap cuishixiang.cn Starting Nmap 7.01 ( https://nmap.org ) at 2017-12-07 16:52 CST Nmap scan report for cuishixiang.cn (123.206.76.216) Host is up (0.032s latency). Not shown: 996 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https 8080/tcp open http-proxy Nmap done: 1 IP address (1 host up) scanned in 5.12 seconds 先把你的 ssh 端口改了吧,没有点安全常识就不要用公网 ip |
| 34 q409195961 2017-12-07 16:56:18 +08:00 @cuiswing 吓得我赶紧给我的博客数据库加个 cron 备份 |
| 36 ytpfxnj 2017-12-07 16:57:51 +08:00 |
| 37 zpf124 2017-12-07 16:57:59 +08:00 假如你是一个 无聊的菜鸡, 还有一个照着别人抄过来的一键攻击脚本,一点它就告诉你攻击成功 200/10000 次。 方案一: 脚本代码写如果成功了扔个炫耀文件,等扫描之后 你打开攻击记录找到对应的 ip 和账号,登上去看是不是真成了。 方案二:脚本代码写成功了直接搞破坏,删目录删数据库,等扫描之后 你直接打开攻击记录找 ip 看看机器黄没黄。 你觉得 那种简单省事,那种更适合去炫耀? |
| 38 cuiswing OP |
 | 41 goodryb 2017-12-07 17:43:36 +08:00 你自己也是做软件的,安全意识太差了,另外,你一直强调你是小网站,有什么用呢? 该删还是给你删了 基本的安全意识还是要有的,这种网站,除了 80、443、ssh 端口 其它一律不 |
 | 42 hjzx050935 2017-12-07 17:50:46 +08:00 |
 | 43 ctro15547 2017-12-07 17:57:32 +08:00 好歹弄个 fail2ban 啊 或者自己写个脚本监控弄个一下 log 也行。。弱密码还没防范意识。 |
 | 44 sunorg 2017-12-07 18:01:53 +08:00 |
| 45 cuiswing OP @hjzx050935 这个是那个租房网站看房狗吧? |
 | 48 cnfzv 2017-12-07 18:20:09 +08:00 via Android 最高权限不要随便放,默认端口不要随便用 |
 | 50 yexiaoxing 2017-12-07 18:24:21 +08:00 1. 能少开放外网服务就少开…… 2. 不要用弱密码 3. 记得备份…… |
| 51 cuiswing OP @yexiaoxing O(∩_∩)O 谢谢 1,2,3 点我喜欢 |
| 52 ytpfxnj 2017-12-08 08:13:42 +08:00 矿机分布式运算,树莓派都有人用。如果你的 cpu 没有跑满,可能没有矿机。 木马的话你看看有什么异常端口,或者开机启动的程序,自己去学吧。 |
 | 53 RangerWolf 2017-12-08 09:46:55 +08:00 楼主, 你连端口都没换么? 汗 换个端口,好歹能迷惑很多人了 |
 | 54 jason19659 2017-12-08 10:53:04 +08:00 不备份活该 |
 | 55 killerv 2017-12-08 10:57:42 +08:00 mysql 为什么要对外开放端口,只需要开放的只有 nginx 和 ssh 端口 |
 | 56 mxonline 2017-12-08 13:29:43 +08:00 楼主怎么也要给服务器上个安防之类的软件吧,安全狗,云锁之类的就可以挡住很多脚本小子了 |
 | 57 bomb77 2017-12-08 13:56:00 +08:00 要珍惜自己的劳动成果啊,自己辛辛苦苦写的博客,数据肯定要多备份几个地方的 |
 | 59 whx20202 2017-12-12 11:01:33 +08:00 1. 看看爬虫有没有爬你的网站,把缓存的 cache 拿走 2. 就当学习了,下次避免就行了 3. 服务器和博客尽量备份 |
Select Language