我使用azure ubuntu实例每分钟在mongo数据库中存储一些数据。我注意到数据大约每天被擦除一次。我想知道为什么我的数据被删除了?
我每分钟都有一个日志,显示数据库的计数。以下是连续两分钟显示所有记录都已删除
**************************************
update at utc: 2022-08-06 10:19:02.393351 local: 2022-08-06 20:19:02.393366
count after insert = 1745
**************************************
update at utc: 2022-08-06 10:20:01.643487 local: 2022-08-06 20:20:01.643544
count after insert = 1
**************************************
当插入后的计数从1745变为1时,您可以看到数据被擦除我的问题是为什么我的数据会被擦除
简短回答
数据在赎金攻击中被删除。我没有使用mongo密码,因为最初我只是在本地测试mongo。然后,当我将bindIp设置为0.0.0.0进行远程访问时,这意味着任何人都可以访问,只要他们猜测主机(这对我来说很愚蠢(。
请始终使用密码保护服务器,尤其是当您的bindIp为0.0.0.0时。有关说明,请参阅https://www.mongodb.com/features/mongodb-authentication
更多详细信息
要检查您是否遭到勒索,请查看赎金单。一个额外的数据库可能会出现——在我的情况下,看到CCD_;READ__ME_TO_RECOVER_YOUR_DATA";
您的所有数据都已备份。您必须在48小时内向1Kz6v4B5CawcnL8jrUvHsvzQv5Yq4fbsSv支付0.05 BTC才能恢复。48小时到期后,我们将泄露并暴露您的所有数据。如果您拒绝付款,我们将联系《通用数据保护条例》(GDPR(,并通知他们您以开放形式存储用户数据是不安全的。根据法律规定,您将面临巨额罚款或逮捕,您的基础转储将从我们的服务器上删除!你可以在这里购买比特币,不需要太多时间https://localbitcoins.com或https://buy.moonpay.io/付款后,用你的DB IP在邮件中写信给我:漫步者+1c6l@onionmail.org和/或mariadb@mailnesia.com您将收到一个下载数据库转储的链接。
另一种检查可疑活动的方法是在/var/log/Mongodb/mongod.log中的Mongodb服务日志中。对于其他系统,文件名可能是Mongodb.log。对我来说,日志中有一系列关于攻击时间的命令,其中第一条是:
{"t":{"$date":"2022-08-07T09:54:37.779+00:00"},"s":"I", "c":"COMMAND", "id":20337, "ctx":"conn30393","msg":"dropDatabase - starting","attr":
{"db":"READ__ME_TO_RECOVER_YOUR_DATA"}}
该命令将删除数据库或开始删除数据库。据怀疑,没有读取任何数据的命令,这意味着攻击者没有像他们声称的那样进行备份。不幸的是,本月早些时候确实有人付钱给了这个骗子。https://www.blockchain.com/btc/tx/65d035ca4db759a73bd9cb68610e04742ffe0e0b71ecdf88f54c7e464ee80a51