这是一个创建于 2105 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天发现某个用户的数据不对,该数据是存在 Mongodb 的,是礼物的余额,全被改成了 99999,一下午被送出去不少,生产服务器只开放了 80,443,22,9200,5601 端口,数据库端口 27017 和 3306 都没有对公网开放,ssh 也禁用了密码登录,只能通过私钥登录,也没发现配置异常的 ssh 公钥,之前的数据库操作历史记录也被删除了,没法查看操作历史,数据库也没发现有其他用户账号,检查业务代码也没有相关操作的地方,检查了一圈没发现可能的地方,万幸没有被删库勒索
之前没有相关服务器安全方面的经验,求教:
- 有哪些可能被黑的原因,要如何进行追踪和分析
- 暂时把 elk 的端口 9200,5601 关闭,22 端口也换了,还有哪些措施可以预防再次被黑
 | 1 wafm 2020-02-27 00:21:29 +08:00  1 再检查业务代码,有没有可能是被伪造包提交的 |
 | 2 mnssbe 2020-02-27 00:29:12 +08:00 余额没有明细, 只有个数字? |
 | 3 ivae OP @mnssbe 礼物增加减少都是有记录的,这个用户都没有相关记录,凭空多出来的,所以怀疑是直接改了数据库 |
 | 5 ericls 2020-02-27 00:52:22 +08:00 via iPhone 这种东西应该用 append only log |
 | 6 delectate 2020-02-27 06:43:15 +08:00 1、和数据库无关,应该是业务上的问题,很多年前的脚本小子,专门找注入漏洞;根据你的描述,我认为估计是这样的; 2、或者管理账号被攻破了(网站的,root 的都有可能); 3、也可能是提交的包没有验证,这个还是得后端背锅; 4、架构不完善,每一个操作做没有记录,也没有回溯的可能性了。 |
 | 7 freelancher 2020-02-27 07:37:47 +08:00 就没个运维吗?查数据库的日志呀。 |
 | 8 tankren 2020-02-27 08:42:58 +08:00 @freelancher 楼主说了历史全被删了 |
 | 9 qwerthhusn 2020-02-27 10:29:50 +08:00 有内鬼 |
 | 11 loginbygoogle 2020-02-29 18:07:38 +08:00 via iPhone 可能应用被小学生破解了 |
Select Language